Laatste nieuws

NIS2 komt eraan, wat betekent dit voor jouw bedrijf?

NIS2; nieuwe wetgeving komt eraan

Er komt nieuwe wetgeving aan: de Europese Network & Information Security Directive (NIS2). Deze treedt officieel in werking op 17 oktober 2024, maar is in Nederland uitgesteld tot begin 2025. De richtlijn gaat over het verbeteren van de digitale weerbaarheid van de Europese lidstaten. Het is een belangrijke wet, vooral voor de digitale sector.

Wat is NIS2

In het Nederlands staat de NIS2-richtlijn bekend als de Netwerk- en Informatiebeveiligingsrichtlijn (NIB2). Het is een wet die hogere cyberbeveiligingsnormen stelt voor grotere gebruikers van digitale technieken. Momenteel hebben we NIS1, dat in Nederland is geïmplementeerd als de Wet beveiliging netwerk- en informatiesystemen (Wbni) en geldt voor grote overheden en 'vitale' bedrijven. Met de nieuwe wet wordt deze doelgroep sterk uitgebreid. Veel meer sectoren en ook middelgrote bedrijven zullen er direct onder vallen. Daarnaast ondervind je ook indirect gevolgen als jouw klant onder deze wet valt. Dit geldt dus ook voor kleine bedrijven die leveren aan grotere organisaties.

Impact voor grotere bedrijven maar ook voor kleine bedrijven die aan grote organisaties leveren

Organisaties kunnen op twee manieren onder de NIS2-regelgeving vallen: direct of indirect. Je valt direct onder NIS2 als jouw organisatie zich in een (deel)sector bevindt waaraan NIS2 eisen stelt. Voor de digitale sector betreft dit onder meer de ‘Digitale Infrastructuur’, ‘ICT Service Managers’ (Managed Service Providers en Managed Security Providers) en ‘Digital Providers’. Deze definities zijn erg breed, maar kort gezegd kun je zeggen dat dit een impact heeft op het grootste deel van de digitale sector.
Daarnaast moet jouw organisatie een minimale omvang hebben van 50 medewerkers, of een omzet en balanstotaal van minimaal 10 miljoen euro. Of je moet specifiek zijn aangewezen door een ministerie. Definitieve duidelijkheid hierover zal komen bij de Nederlandse implementatie van de wet.
Ook indirect kun je onder NIS2 vallen. Dit gebeurt als je directe leverancier bent van een organisatie die onder NIS2 valt. Zij zijn verplicht de eisen van NIS2 te vertalen naar hun leveranciers. Vervolgens moeten zij tijdens inspecties kunnen aantonen dat uitbestede activiteiten aan leveranciers aan die eisen voldoen. In dit geval staat jouw organisatie niet zelf onder toezicht, maar dien je wel alle gegevens aan jouw klant te verstrekken om aan te tonen dat de dienstverlening voldoende beveiligd is.

Supervisie voor belangrijke en essentiële organisaties

Onder NIS2 zijn er twee categorieën bedrijven: belangrijk en essentieel. Het onderscheid tussen deze categorieën is of je onder actief (ex ante) of passief (ex post) toezicht staat. Voor de digitale sector betekent dit: je wordt essentieel geacht als je actief bent in de sectordefinities ‘Digitale Infrastructuur’ of ‘ICT Service Managers’ en minimaal 250 medewerkers hebt, dan wel een jaaromzet van minimaal € 50 miljoen en een balanswaarde van minimaal € 43 miljoen. Valt jouw organisatie daar niet onder, dan wordt jouw organisatie als "belangrijk" bestempeld als je actief bent in de sectordefinities ‘Digitale Infrastructuur’, ‘ICT Service Managers’ of ‘Digital Providers’ en minimaal 50 medewerkers heeft, dan wel een jaaromzet en balans totaal minimaal € 10 miljoen.
Valt jouw organisatie onder een van deze twee definities, dan moet je voldoen aan een zorgplicht, een meldplicht en staat jouw organisatie onder actief of passief toezicht van de toezichthouder van de sector waarbinnen je valt. Passief toezicht (ex post) houdt in dat de toezichthouder alleen controles uitvoert na veiligheidsincidenten of wanneer zij een melding krijgen dat jouw organisatie zich niet aan de wet houdt. Actief toezicht houdt in dat de toezichthouder op ieder moment controles kan uitvoeren.

Wees voorbereid op NIS2

Voor veel digitale bedrijven zal de NIS2 geen significante verschuiving betekenen. De zorgplichteisen uit NIS2 sluiten grotendeels aan bij bekende normen als ISO27001, waar veel bedrijven al aan voldoen. Dit betekent dat je in jouw organisatie zelf een risicobeoordeling moet uitvoeren. Op basis van deze analyse moet je passende maatregelen nemen om de continuïteit van de dienstverlening zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen. Ook deze analyse, de redenering achter de maatregelen en de genomen maatregelen moeten goed gedocumenteerd en aantoonbaar zijn.

De wet omvat minimaal 10 maatregelen

  • Incidentafhandeling
  • Beleid inzake risicoanalyse en beveiliging van informatiesystemen
  • Bedrijfs continuiteits plan
  • Beveiliging van de toeleveringsketen
  • Beveiliging bij de aanschaf, ontwikkeling en onderhoud van netwerk- en informatiesystemen
  • Beleid en procedures om de effectiviteit van maatregelen voor het beheersen van cyberveiligheidsrisico’s te beoordelen
  • Basispraktijken op het gebied van cyberhygiëne en training in cybersecurity
  • Beleid en procedures met betrekking tot het gebruik van cryptografie
  • Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en asset management
  • Indien van toepassing, het gebruik van meervoudige authenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie.

Hoe Universal Security as a Service kan helpen bij de voorbereiding op NIS2

Universal.cloud is een toonaangevende leverancier van security as a service (SECaaS) oplossingen waarmee je gegevens, apparaten en applicaties kunt beschermen tegen cyberdreigingen. We gebruiken de CIS Critical Security Controls (CIS Controls) als raamwerk om onze beveiligingsdiensten te begeleiden en ervoor te zorgen dat organisaties voldoen aan de normen op het gebied van cyberbeveiliging en compliance. Naast de CIS Controls stemmen we onze diensten af op de NIS2-richtlijn, de nieuwste netwerk- en informatiebeveiligingsnorm van de EU. Dit zorgt voor een hoger beveiligingsniveau voor netwerk- en informatiesystemen binnen de EU.

Boek vandaag nog een gratis Security QuickScan

De Security Quickscan is de eerste stap om jouw bedrijf te beveiligen met onze SECaaS-oplossing. Het geeft je een duidelijk beeld van het huidige beveiligingsniveau. Daarbij is het mogelijk om het SECaaS-plan aan te passen aan het budget en behoeften binnen jouw organisatie. Het resultaat is een waardevol document dat je kunt gebruiken om de oplossingen zelf te implementeren, of de controles (gedeeltelijk of volledig) uit te besteden aan de Universal Cloud-beveiligingsexperts. De Quickscan is gratis en gemakkelijk te boeken. Wacht niet langer. Ontdek waar jouw organisatie staat en plan vandaag nog jouw Quickscan!

Security as a Service van Universal Cloud voorziet organisaties van robuuste cyberbeveiligingsmaatregelen

Deel dit artikel

Categorieën

Categorieën

Recent geplaatst