De NIS 2, de meeste organisaties kunnen er straks niet meer om heen. Met de komst van deze richtlijn worden hogere cyber security-eisen geïntroduceerd en bovendien gelden deze voor een breed scala aan bedrijven. Maar wat houdt de NIS 2 precies in? En hoe kan je jouw organisatie hiervoor klaarstomen? Ad Schaafsma, Security Consultant bij Axians, geeft een update over de NIS 2 en geeft tips voor een goede naleving ervan.
De Europese Unie introduceert de NIS 2 met als doel de cyberweerbaarheid van essentiële en belangrijke organisaties te verhogen. Onder de NIS 2 worden onder andere alle overheden, zorg, datacenters, stroom, gas, water, vervoer, banken, communicatie en B2B-beheerdiensten gezien als ‘essentieel’. De belangrijke organisaties zijn bijvoorbeeld post- en koeriersdiensten, afvalstoffenbeheer en vervaardigingsbedrijven.
Wie krijgen nog meer met de NIS 2 te maken?
Ben je een klein bedrijf (minder dan 250 medewerkers) en verleen je geen essentiële of belangrijke dienst? Dan hoef je in principe niet te voldoen aan de NIS 2. Maar ook hierop zijn uitzonderingen. Zo worden bijvoorbeeld verbonden organisaties bij elkaar opgeteld. Bovendien komt er meer aandacht voor ketenbeheer. Wanneer je samenwerkt met een essentieel bedrijf word je door NIS 2 gedwongen om aan je leveranciers in de keten eisen te stellen.
Actief compliance aantonen
Als organisatie moet je bovendien kunnen aantonen dat je voldoet aan de NIS 2. Hierbij spelen verhoogde vereisten voor risicobeheer en rapportage een grote rol, evenals testen en audits. Zo moeten bijvoorbeeld de leveranciers waarmee je werkt een certificering hebben, en is het van belang dat je de gehele toeleveringsketen in zicht hebt en actief bezig bent met leveranciersmanagement. Grote incidenten moeten daarnaast binnen 24 uur gemeld worden en de sancties kunnen oplopen tot 10 miljoen of 2% van de omzet. Verder kunnen personen op directieniveau – indien ze hun verplichtingen op grond van de richtlijn niet nakomen – persoonlijk aansprakelijk worden gesteld. Een goede naleving is dus essentieel.
4 tips voor een goede naleving van de NIS 2
- Bepaal hoe volwassen je security-niveau nu is, bijvoorbeeld aan de hand van een Security Maturity audit en leg in een roadmap vast hoe je de gap wil overbruggen tussen het huidige en gewenste security-niveau.
- Laat je informeren over best practices met betrekking tot het inrichten van je IT-infrastructuur.
- Weet wie je leveranciers zijn. Weet wat ze leveren en onder welke condities. Inventariseer welke afspraken je met ze hebt gemaakt over cyber security van hun producten en/of diensten. Voldoen ze aan de eisen van NIS 2?
- Definieer je beleid en zorg voor een juridisch kader om intern toezicht te houden op gebruikers en beheerders. Zorg dat ze verantwoord te werk gaan en kies een normenkader dat bij je past.
Wat betekent de NIS 2 voor jou?
Wil je weten wat de NIS 2 voor jouw organisatie gaat betekenen? Neem vrijblijvend contact op voor meer informatie.