In oktober van dit jaar treedt de NIS2-richtlijn in werking. Deze regelgeving is van toepassing op sectoren en diensten die van vitaal belang zijn voor de maatschappij, de lidstaten of de Europese Unie, en vereist dat er voldoende bescherming is tegen cyberaanvallen. NIS2 is gericht op middelgrote (+50 werknemers of een omzet van +10 miljoen euro) en grote bedrijven (+250 werknemers of een omzet van +50 miljoen euro) in een aantal kritieke sectoren. KMO’s kunnen echter ook de impact hiervan ondervinden als zij toeleverancier zijn van deze organisaties.
NIS2-richtlijn
NIS2 is de afgekorte naam van de EU Directive on Security of Network and Information Systems, die tot doel heeft de digitale infrastructuur te beschermen. Deze regelgeving verplicht essentiële en belangrijke entiteiten om passende beveiligingsmaatregelen te nemen en incidenten te melden. In de NIS2-regelgeving zijn er 2 annexen opgenomen die bepalen welke bedrijven en sectoren als belangrijk of essentieel moeten worden beschouwd. Voorbeelden van sectoren zijn energie, gezondheidszorg, transport, ICT service management, chemie, voeding, manufacturing, … Via onze self-assessment kan je nagaan of jouw organisatie aan NIS2 moet voldoen of niet.
NIS2 beoogt de weerbaarheid tegen cyberdreigingen te versterken en de algehele digitale veiligheid in Europa te waarborgen. Een aantal aspecten die hieronder vallen zijn onder andere:
- Het opzetten van een degelijk risicobeheer en securitybeleid, inclusief het evalueren van de effectiviteit van het beleid;
- Een adequate netwerkbeveiliging met een goed functionerende monitoring;
- Een efficiënt incidentbeheer waarbij meldingsplicht geldt naar autoriteiten binnen de 72 uur;
- Het garanderen van bewuste en getrainde interne en externe medewerkers als het gaat over cyberveiligheid binnenin en extern aan een organisatie;
- Een plan voor het beheren van de bedrijfsvoering tijdens en na een beveiligingsincident (ook gekend als: business continuity management);
- Beveiliging rond de “supply chain” en de relatie tussen het bedrijf en de toeleveranciers.
Voor KMO’s zijn vooral de laatste twee punten van belang. Als toeleverancier van een organisatie die onder de NIS2-regelgeving valt, heeft een KMO een niet te onderschatten verantwoordelijkheid op te nemen.
Hoe kan Infosentry helpen?
Infosentry heeft al meer dan 15 jaar ervaring met governance, risk en compliance diensten binnen onder meer informatiebeveiliging, privacy en business continuity management. In de aanloop naar de GDPR, die op 25 mei 2018 van kracht werd na een tweejarige voorbereidingsperiode, hebben we meer dan 100 organisaties geholpen om te voldoen aan de nalevingsverplichtingen van de Europese privacywetgeving. Daarnaast zijn we gespecialiseerd in ISO27001-implementaties (inclusief certificering), cyber security auditing, security project management, en bieden we zelfs CISO-as-a-Service. Kortom, wij zijn uw ideale partner om uw organisatie volledig compliant te maken met NIS2.
Ons standaardtraject omvat:
- Assessment en roadmap creatie met een duidelijk actieplan van de nog te implementeren verplichtingen die NIS2 oplegt;
- Implementatie van de roadmap, inclusief risicomanagement, ontwikkeling en implementatie van vereiste beleidsregels en procedures, training en awareness (ook voor het management), auditing van de supply chain, en meer;
- Follow-up om op lange termijn compliant te blijven met NIS2, via interne audits, workshops, coaching, of zelfs door het vervullen van de rol van Security Officer of CISO binnen uw organisatie.
Moet een KMO de volledige NIS2-richtlijn naleven?
Logischerwijs komt de vraag naar boven: “Moet ik als KMO ook de volledige NIS2-richtlijn naleven?”. Middelgrote bedrijven (+50 medewerkers of +10 miljoen euro omzet) actief in Annex 1 of Annex 2 van NIS2 (bv. transport, digitale infrastructuur en ICT service management) zullen als belangrijk gezien worden en zullen aan de vereisten van NIS2 moeten voldoen. In uitzonderlijke gevallen zullen ook kleine organisaties onder het toepassingsgebied vallen, bijvoorbeeld DNS service providers. Ontdek het via onze self-assessment.
KMO’s die diensten leveren aan essentiële of belangrijke organisaties, moeten uiteraard niet zo ver gaan. Echter, een goed doordacht cyberbeleid met passende procedures, toezicht en technische maatregelen is essentieel om te voorkomen dat ze de zwakste schakel in de keten worden. Daarnaast zullen klanten die aan NIS2 moeten voldoen, verhoogde cybersecurity eisen opleggen aan haar toeleveranciers. Het behalen van een ISO27001-certificaat kan hierbij van grote hulp zijn om aan klanten en toezichthouders voldoende security maturiteit te kunnen aantonen.
Moet jouw organisatie voldoen aan NIS? Ontdek via onze self-assessment kosteloos of jouw organisatie zal moeten voldoen aan NIS2 vereisten.
NIS2, is jouw organisatie er klaar voor?Download onze whitepaper om meer te weten te komen over NIS2 en hoe dit jouw organisatie impacteert.
Ontdek alles over de NIS2-regelgeving, inclusief het verloop van een NIS2-traject, de partijen die eraan moeten voldoen en de consequenties bij het niet naleven ervan.
