Lees hier wat NIS2 precies inhoudt.
Lees hier wanneer je NIS2-plichtig bent.
Voorbereiden op NIS2
De Europese richtlijn NIS2 wordt in Nederland omgezet in de Cyberbeveiligingswet, die vanaf 15 augustus geldt. Je hebt nog tijd om je organisatie voor te bereiden, maar eerst is het belangrijk te weten of en hoe deze wet voor jouw bedrijf van toepassing is.
Begin daarom met deze vragen:
- Val je direct onder NIS2 of krijg je er indirect mee te maken?
- Welke systemen en data zijn voor jouw bedrijf het belangrijkst?
- Wat gebeurt er als deze uitvallen?
- Welke beveiligingsmaatregelen heb je al?
- Wat heb je nog niet geregeld?
NIS2 vraagt namelijk om meer dan alleen goede IT-beveiliging. Je moet ook kunnen aantonen welke maatregelen je neemt, hoe je risico’s beheert en wat je doet bij een incident. In de praktijk komt dit neer op drie verplichtingen.
De 3 verplichtingen van NIS2
Zodra de wet actief is, krijg je als organisatie te maken met drie verplichtingen:
- Registratieplicht
- Zorgplicht
- Meldplicht
Registratieplicht: je moet kunnen aantonen wat je doet
Val je onder NIS2, dan moet je je organisatie registreren via het Nationaal Cyber Security Centrum (NCSC). Je kunt dit nu al vrijwillig doen. Zodra de wet actief is, wordt dit verplicht.
Waarom moet dit?
- Je wordt opgenomen in een officieel register
- Je ontvangt informatie over cyberdreigingen
- De overheid weet wie onder de wet valt
Zorgplicht
De zorgplicht houdt in dat je als organisatie verantwoordelijk bent voor de beveiliging van je systemen, data en dienstverlening. Je moet hiervoor passende maatregelen nemen om ervoor te zorgen dat je bedrijf blijft draaien en dat informatie goed beschermd is.
Wat betekent dit concreet voor mij?
- Je hebt inzicht in je risico’s
- Je neemt maatregelen om problemen te voorkomen
- Je controleert je beveiliging regelmatig en verbetert dit waar nodig
De overheid heeft hiervoor 10 zorgplichtmaatregelen opgesteld:
- Maak een risicoanalyse
- Richt incidentenrespons in
- Bereid je voor op uitval
- Maak je toeleveringsketen veilig
- Zorg dat cyberhygiëne op orde is
- Beveilig netwerk- en informatiesystemen
- Versterk de beveilig op het gebied van personeel, toegang en assetbeheer
- Gebruik passkeys voor authenticatie
- Stel cryptografiebeleid op
- Beoordeel de effectiviteit van de maatregelen
Wil je de exacte uitwerking zien? Bekijk dan de uitleg van de overheid.
Meldplicht: incidenten moet je melden
Krijg je te maken met een cyberincident dat impact heeft op je organisatie? Dan moet je dit melden bij de Computer Security Incident Response Team (CSIRT) en je toezichthouder. Een melding maken doe je via een NCSC-portaal.
De meldplicht bestaat uit verschillende stappen:
- Vroegtijdige waarschuwing: binnen 24 uur doe je een eerste melding
- Vervolgmelding: binnen 72 uur geef je een update met meer informatie
- Eindverslag: binnen 1 maand lever je een volledig verslag aan
Waar moet je een melding van maken?
Hiervoor geld dat je een melding moet maken van significante incidenten die de continuïteit van de dienstverlening aanzienlijk (kunnen) verstoren. Een aantal factoren die hierbij een rol kunnen spelen zijn:
- Het aantal personen dat door de verstoring is geraakt
- De tijdsduur van een verstoring
- De mogelijke financiële schade
Vrijwillige melding
Bedrijven die te maken hebben met een cyberincident, maar die niet onder NIS2 vallen, kunnen vrijwillig een melding via het NCSC-portaal. Dit helpt de overheid om cyberveiligheid in andere sectoren te monitoren.
TendenZ IT als ondersteunende partner in de wereld van NIS2
NIS2 vraagt niet om één losse maatregel, maar om een combinatie van inzicht, beveiliging en processen. Het belangrijkste is op tijd beginnen: hoe eerder je inzicht hebt, hoe makkelijker je de juiste stappen kunt zetten. Heb je hulp nodig bij deze vraagstukken? Plan dan een afspraak in, TendenZ IT kan je hierbij helpen.
Als gecertificeerde NIS2-partner nemen wij deze zorgen uit handen: we voeren een uitgebreide security check uit, kijken samen met jou naar verbeterpunten en ondersteunen je continu zodra NIS2 live gaat, inclusief training van medewerkers en praktische begeleiding bij de implementatie van de maatregelen.