In deze blog geven we belangrijke praktische handvatten voor de implementatie van de NIS2 richtlijn. Deze richtlijn introduceert aangescherpte eisen op het gebied van cybersecurity voor een breed scala aan sectoren en bedrijven binnen de EU. Dit vereist een kritische beoordeling en aanpassing van de huidige beveiligingspraktijken en het managementbeleid van organisaties. Alhoewel de Nederlandse uitwerking van de NIS2 er nog niet is en de datum van inwerkingtreding ook nog niet bekend is, kun je al wel voorbereidingen treffen.
Impact op het management
Een cruciaal element van NIS2 is de impact op het managementniveau van organisaties. De richtlijn vereist dat leidinggevenden actief betrokken zijn bij cybersecurity en de verantwoordelijkheid nemen voor de beveiliging van hun informatiesystemen. Dit omvat het zorgen voor voldoende middelen en het implementeren van een managementsysteem voor informatiebeveiliging (ISMS).Inzicht in de keten
De NIS2 benadrukt het belang van inzicht in de toeleveringsketen, waarbij organisaties verantwoordelijk worden gehouden voor de beveiliging van hun hele keten, inclusief leveranciers en partners. Hackers die zich richten op grote bedrijven vallen vaak eerst kleine bedrijven aan die in connectie staan met die grote bedrijven. Zo wordt de keten ondermijnd en worden grote én kleine bedrijven geraakt.Zorgplicht, Meldplicht en Toezicht
De zorgplicht onder NIS2 houdt in dat organisaties passende technische en organisatorische maatregelen moeten nemen om de risico’s voor hun netwerk- en informatiesystemen te beheren. Dit vereist een continue risicoanalyse en het nemen van preventieve maatregelen. De meldplicht verplicht organisaties om ernstige incidenten binnen 24 uur te melden aan de relevante nationale autoriteiten. Toezicht op naleving van de verplichtingen onder NIS2 wordt versterkt, met de mogelijkheid van audits en inspecties door toezichthouders.Aantoonbaar compliant worden
Om aantoonbaar compliant te worden met NIS2, adviseren we organisaties een ISMS te implementeren, gebaseerd op erkende standaarden zoals de ISO 27001 of de NEN 7510 deel 1. Het implementeren van een ISMS biedt een gestructureerd en cyclisch kader voor het beheren van deze risico’s en het aantonen van compliance. Een effectief ISMS omvat beleid, procedures en een juiste organisatorische inbedding van maatregelen en controles. Dit systeem moet regelmatig worden geaudit om naleving te verzekeren. Het uitvoeren van een gap-analyse om te bepalen waar de organisatie staat ten opzichte van de NIS2-eisen is een essentiële eerste stap. Daarna dienen plannen te worden ontwikkeld en uitgevoerd om eventuele tekortkomingen in de beheersmaatregelen aan te pakken.Eisen aan beheersmaatregelen
De beheersmaatregelen die onder NIS2 vereist zijn, moeten gebaseerd zijn op een risicobeoordeling en moeten de beschikbaarheid, integriteit, en vertrouwelijkheid (BIV) van gegevens beschermen. Om effectief en efficiënt te werken adviseren we om vooral gebruik te maken van de standaarden met beheersmaatregelen zoals onder andere de ISO 27002, NEN 7510 deel 2 of de Baseline Informatiebeveiliging Overheid (BIO). Organisaties moeten hun bestaande cybersecuritypraktijken heroverwegen en aanpassen om aan de nieuwe vereisten te voldoen. Dit omvat bijvoorbeeld het uitvoeren van risicobeoordelingen, het updaten van incidentresponsplannen en het waarborgen van de continuïteit van kritieke diensten. Het Perium platform biedt organisaties een vliegende start, beginnend met een gap-analyse om de huidige staat van de cybersecuritymaatregelen te beoordelen en te identificeren waar verbeteringen nodig zijn.Het belang van inzicht in de overlap tussen NIS2 en andere normen
Organisaties die al voldoen aan ISO 27001/2, NEN 7510, of de BIO, zullen merken dat er grote overlap is met de eisen van NIS2. Het is belangrijk deze overlap inzichtelijk te hebben en te benutten om dubbel werk te voorkomen. In het Perium platform is deze overlap al in kaart gebracht voor een vliegende start.De belangrijkste maatregelen toegelicht
In de NIS2 worden onderstaande onderwerpen genoemd waar organisaties passende maatregelen voor moeten implementeren:- Risicomanagement Breng je digitale risico’s in kaart en beoordeel deze regelmatig. Met de risicobeoordelingen kun je onderbouwde beslissingen nemen op welke beheersmaatregelen je in gaat zetten.
- Bedrijfscontinuïteit Op basis van je risicobeoordeling en eisen voor continuïteit maak je een continuïteitsplan en test je deze regelmatig.
- Veiligheid in de keten Beoordeel de veiligheid van je ketenpartners om potentiële risico’s van externe leveranciers en dienstverleners te identificeren. Neem passende maatregelen om je bedrijfscontinuïteit te garanderen.
- Beveiliging van netwerk- en informatiesystemen Ga aan de slag met een uitgebreide aanpak voor de beveiliging van netwerk- en informatiesystemen, waarbij systemen goed zijn ingericht en er een doeltreffend beleid is voor het identificeren en omgaan met kwetsbaarheden.
- Cyberveiligheidsbeleid Zorg voor een duidelijk informatiebeveiligingsbeleid en dat de medewerkers hiervan op de hoogte zijn en deze wordt nageleefd.
- Effectiviteit cybersecurity maatregelen Beoordeel regelmatig de effectiviteit van je beheersmaatregelen waardoor je passende verbeteringen kunt doorvoeren.
- Cryptografie en encryptie implementatie Zorg voor goed beveiligde en correct versleutelde verbindingen.
- Fysieke beveiliging Implementeer maatregelen voor fysieke beveiliging, inclusief beleid met betrekking tot personeel, toegangscontrole en activabeheer.
- Multifactor authenticatie Zet multifactor authenticatie (MFA) in voor relevante accounts, inclusief die vanaf het internet toegankelijk zijn en beheerrechten hebben van essentiële systemen. Zo kun je je organisatie optimaal beschermen tegen cybercriminelen.
Proactief boetebeleid
NIS2 gaat flink veel impact hebben. Het niet naleven ervan betekent namelijk een risico op een forse boete omdat men streng gaat handhaven via proactieve en regelmatige controles. Dus niet na meldingen of incidenten maar vooraf. Het belang is immers groot. Onder andere onze kerncentrales, watervoorziening en ziekenhuizen moeten veilig blijven. Iedereen die daaraan levert moet meewerken – en dus ook alle bedrijven in die keten.Conclusie
Voor organisaties betekent de NIS2 dat ze hun aanpak van informatiebeveiliging moeten uitbreiden, met een sterke focus op managementverantwoordelijkheid, risicomanagement, keteninzicht, en aantoonbaar werken met bewezen standaarden. Met het Perium platform kun je snel de juiste voorbereidingen treffen omdat de NIS2 en de bewezen standaarden, inclusief inzicht in de overlap, al beschikbaar zijn. Daarnaast beschik je met Perium over een betrouwbaar ISMS, inclusief risicomanagement, met templates en een robuuste geautomatiseerde regiefunctie (PDCA). Op die manier zorg je ervoor dat de juiste acties door de juiste mensen op het juiste moment worden opgepakt.Start vandaag nog
Is jouw organisatie klaar voor de toekomst? Verlies geen klanten, wacht niet langer en ontdek hoe Perium en het NIS2 Quality Mark jouw organisatie kan helpen.
Samen zorgen we ervoor dat jouw organisatie niet alleen voldoet aan de NIS2, maar ook sterker, veiliger en toekomstbestendig wordt.
Perium is ISO 27001:2017 gecertificeerd
juli 26, 2023
Geen reacties
Bij Perium nemen we informatiebeveiliging heel serieus. Daarom zijn we in de afgelopen periode hard aan de slag geweest om informatiebeveiliging voor Perium en haar dienstverlening op
Europese wetgeving: de NIS2 Directive, en nu?
juni 29, 2023
Geen reacties
De NIS2 richtlijn van kracht: wat nu? De Europese Unie heeft in oktober 2022 de nieuwe richtlijn voor de beveiliging van Netwerk- en Informatiesystemen (NIS2)
Risicomanagement, waar te beginnen?
april 23, 2023
Geen reacties
Risicomanagement is een steeds belangrijker onderdeel van de bedrijfsvoering. Niet alleen om risico’s te beheersen maar ook om kansen te zien en te verzilveren. Er