Cyber Security
Valt jouw bedrijf onder NIS2? En hoe moet je voldoen aan de nieuwe cyberwet?
Ontdek onze praktische aanpak voor het (blijvend) voldoen aan de NIS2-richtlijn.
Ontdek onze praktische aanpak voor het (blijvend) voldoen aan de NIS2-richtlijn.
Weet jij al of jouw bedrijf onder de NIS2-richtlijn valt en welke stappen je moet je zetten om eraan te voldoen?
Op deze pagina kom je erachter of jouw bedrijf onder de NIS2-wetgeving valt én hoe de juiste tooling je helpt.
En ook als je niet onder NIS2 valt, is de kans groot dat jouw bedrijf ermee te maken krijgt. Lees ook dan zeker verder!
NIS2 is de nieuwe Europese wet voor cyberbeveiliging. Het doel van NIS2 is om het gezamenlijke cybersecurityniveau van EU-lidstaten te versterken. NIS2 verplicht organisaties binnen essentiële en belangrijke sectoren om passende beveiligingsmaatregelen te implementeren en incidenten te rapporteren. Zo blijft de hele maatschappij beter beschermd tegen cybergevaren.
Vanaf eind 2025 moeten bedrijven in belangrijke sectoren, zoals energie, transport en gezondheidszorg, voldoen aan de strengere beveiligingseisen. De wet verplicht hen om digitale risico’s beter te beheersen en cyberaanvallen sneller te melden.
Hoe kom je erachter of jouw organisatie moet voldoen aan NIS2?
Elke organisatie met meer dan 50 medewerkers en/of een jaaromzet/balanstotaal van meer dan 10 miljoen euro dient te beoordelen of zij onder de NIS2 wetgeving valt. Dat doe je makkelijk via deze wizard: www.regelhulpenvoorbedrijven.nl/NIS-2-NL/.
Of klik op onderstaande afbeelding om de Beslisboom “Ben ik een NIS2-entiteit?” te downloaden.
Klik op de afbeelding om de Beslisbom “Ben ik een NIS2-entiteit?” te downloaden (je hoeft geen contactgegevens in te vullen om de PDF te downloaden)
NIS2 richt zich op organisaties met een belangrijke maatschappelijke functie. Hierbij wordt onderscheid gemaakt tussen 2 categorieën organisaties: ‘essentiële’ en ‘belangrijke’ entiteiten. Dit onderscheid is gebaseerd op de sector waarin een organisatie actief is en de omvang van de organisatie.
Essentiële entiteiten zijn grote (een organisatie wordt als ‘groot’ beschouwd als zij minimaal 250 werknemers heeft of een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro) organisaties die actief zijn in de volgende sectoren:
Belangrijke entiteiten zijn middelgrote organisaties die actief zijn in de bovengenoemde sectoren, evenals middelgrote en grote organisaties in de volgende sectoren (een organisatie wordt als ‘middelgroot’ beschouwd als zij minimaal 50 werknemers heeft of een jaaromzet van meer dan 10 miljoen euro en een balanstotaal van meer dan 10 miljoen euro):
Daarnaast vallen bepaalde organisaties, ongeacht hun omvang, automatisch onder de NIS2-richtlijn. Dit betreft aanbieders van vertrouwensdiensten, registers voor topleveldomeinnamen, verleners van domeinnaamregistratiediensten, aanbieders van openbare elektronische communicatienetwerken en -diensten.
Sommige organisaties hoeven niet te voldoen aan de NIS2-richtlijn, maar kunnen er toch mee te maken krijgen. Dit komt doordat ze samenwerken met bedrijven die wél onder NIS2 vallen.
Lever je producten of diensten aan een NIS2-organisatie? Wees je er dan van bewust dat zij je gaan vragen hoe jij je continuïteit hebt geregeld. De klant moet namelijk een plan B met scenario’s hebben voor het geval jij als leverancier wegvalt bijvoorbeeld door een cyberaanval. Veel bedrijven gaan dus extra eisen stellen aan hun leveranciers om risico’s in hun keten te beperken. Dit betekent dat je als toeleverancier alsnog maatregelen moet nemen voor cybersecurity en risicobeheer.
Zelfs als je niet onder NIS2 valt, kan het dus verstandig zijn om de richtlijn als leidraad te gebruiken. Zo ben je goed voorbereid en blijf je aantrekkelijk als zakelijke partner.
NIS2 helpt organisaties hun ICT-beveiliging te verbeteren. Jouw bedrijf maakt dan simpelweg minder kans het slachtoffer te worden van cyberaanvallen. Dat is de eerste winst, of je nu wel of niet onder NIS2 valt.
Als een organisatie onder NIS2 valt, kan het niet voldoen aan de regels leiden tot hoge boetes en reputatieschade. Bestuurders zijn persoonlijk aansprakelijk en moeten laten zien dat ze alles hebben gedaan om cyberaanvallen te voorkomen.
Bij overtreding of nalatigheid kunnen er zware gevolgen zijn. Dit kan boetes opleveren, zelfs op persoonlijk niveau. In ernstige gevallen kunnen bestuurders zelfs een celstraf krijgen. Daarom is het belangrijk om de juiste maatregelen te nemen en te zorgen voor een goede cyberbeveiliging.
Voor organisaties die onder de NIS2 wetgeving vallen (zogeheten NIS2-entiteiten), gelden een aantal verplichtingen:
De meeste ICT-bedrijven kunnen je wel het een en ander over NIS2 vertellen, maar wij helpen je met praktisch tooling om te voldoen aan je verplichtingen en om de noodzakelijke maatregelen te implementeren en blijvend te monitoren. Hoe doen we dat?
Hieronder ontdek je onze uniek aanpak. Geen wollig gedoe, maar een pragmatische aanpak die is gebaseerd is op een cyclisch, wederkerend proces. Daardoor voldoe je niet eenmalig maar blijvend aan de vereisten van de NIS2 wetgeving.
Het startpunt is om inzicht te krijgen in de voor jouw organisatie geldende acties, risico’s en verbeterpunten. We beginnen daarom met een gedetailleerde nulmeting. Hiervoor gebruiken we een uitgebreide checklist met circa 60 vragen, die gebaseerd zijn op de ISO 27001- en NIS2-normen. De NIS2 zorgplichtmaatregelen komen namelijk grotendeels overeen met de maatregelen van de ISO 27001 norm voor informatiebeveiliging. De ISO27001:2022 norm kent 93 “security controls”; maatregelen die je moet nemen om je beveiliging op orde te brengen.
Door middel van een risicoanalyse bepalen we samen welke van deze 93 security controls van toepassing voor jouw situatie zijn. De 93 security controls zijn verdeeld in vier groepen en zijn overigens lang niet allemaal technisch:
Wij hebben een mapping gemaakt welke van de 93 ISO 27001 security controls (we zijn trouwens zelf 27001 gecertificeerd) van toepassing zijn voor NIS2 en deze ingedeeld in 3 groepen:
Vervolgens definiëren we aan hand van deze checklist de risico’s en daarbij eventueel behorende verbeteracties. Deze verbeteracties worden ook vastgelegd in de checklist.
Tijdens de volgende stap bespreken we samen de bevindingen en stellen we een concreet Plan van Aanpak op. Aan alle bevindingen worden acties gekoppeld en verantwoordelijken toegewezen.
Voor het vastleggen van deze acties, het koppelen aan beleidsmatige keuzes en het monitoren van de voortgang is ons advies om hier een NIS2 managementsysteem voor te gebruiken.
Als het managementsysteem gevuld is, dan zijn de risico’s correct beschreven, toegewezen aan specifieke eigenaren en voorzien van een tijdlijn. Dit maakt het beheer van risico’s eenvoudiger en het draagt bij aan een blijvende compliance.
Hiervoor gebruiken we het managementsysteem van PDCA4YOU.
Klik op de afbeeldingen voor een vergroting.
Of jouw bedrijf nu direct onder de NIS2-richtlijn valt of niet, de impact op jouw bedrijfsvoering is onvermijdelijk. Wacht niet af tot de regelgeving jou inhaalt, maar neem proactief de juiste maatregelen.
Zoals je hebt gelezen, helpen we jullie met een pragmatische aanpak om te voldoen aan NIS2 én je cyberbeveiliging naar een hoger niveau te tillen. Wil je weten hoe?
📞✉️ Neem hieronder contact op met Maurice voor een vrijblijvende kennismaking en laten we samen zorgen dat jouw bedrijf klaar is voor NIS2. 🚀
