Klaar voor NIS-2? Til uw informatiebeveiliging naar een hoger niveau
Dankzij het alsmaar groeiende belang van cybersecurity heeft de Europese Commissie recent maatregelen getroffen in de vorm van nieuwe wet- en regelgeving: Digital Operational Resilience Act (DORA) en de Network and Information Security 2 Directive (NIS-2). In deze blog leest u wat deze directives inhouden, op welke organisaties ze van toepassing zijn en welke stappen u moet ondernemen.
Cybersecurity en cyberrisico’s zijn hot en vragen continu uw aandacht. Doorlopend bereiken berichten de media dat er nieuwe hacks plaatsvinden, dat ondernemers worden geconfronteerd met ransomware aanvallen of dat bedrijven onbereikbaar zijn als gevolg van een DDoS aanval. De Europese Commissie heeft al geruime tijd aandacht voor cybersecurity, maar de toenemende onrust vraagt om nieuwe maatregelen. Dit doen ze in de vorm van DORA en de NIS-2.
Wat houdt DORA in?
DORA is een directive die specifiek is gericht op het versterken van cybersecurity beheersing in de financiële sector (met name financiële organisaties die onder toezicht staan). Het doel van DORA is om de stabiliteit en integriteit van financiële markten van de Europese Unie te waarborgen alsook beleggers en consumenten te beschermen.
Wat houdt NIS-2 in?
De NIS-2 directive is een herziening van de eerdere Netwerk en informatiebeveiligingsrichtlijn en de komst hiervan moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. NIS-2 geldt voor meer en andere bedrijven dan DORA. NIS-2 is van toepassing op een groot aantal sectoren, namelijk (niet limitatief): Energie, Transport, Bankwezen, (Digitale) Infrastructuur, Afvalwater, Beheer van ICT-diensten, Levensmiddelen en Vervaardiging/Manufacturing. Micro en kleine bedrijven vallen (nog) niet onder NIS-2, tenzij de minister hen op basis van een risicobeoordeling daartoe aanwijst, of wanneer zij in specifieke sectoren actief zijn.
NIS-2 maakt hierbij een onderscheid tussen essentiële en belangrijke sectoren, hetgeen samenhangt met sectoren waarin ze actief zijn alsook de omvang die hieraan gekoppeld is. Essentiële sectoren vallen onder een intensiever toezicht (vooraf en achteraf) dan belangrijke sectoren (alleen toezicht achteraf).
{% module_block module “widget_1683719759942” %}{% module_attribute “label” %}cta-banner-simple{% end_module_attribute %}{% module_attribute “path” %}/hlb-website-demo/web/modules/cta-banner-simple/cta-banner-simple{% end_module_attribute %}{% module_attribute “module_id” %}57204341051{% end_module_attribute %}{% module_attribute “schema_version” %}2{% end_module_attribute %}{% module_attribute “tag” %}module{% end_module_attribute %}{% module_attribute “no_wrapper” %}false{% end_module_attribute %}{% module_attribute “action” %}{“link”:{“url”:{“content_id”:54962820913,”href”:null,”type”:”CONTENT”}},”text”:”Lees meer over onze IT-dienstverlening”}{% end_module_attribute %}{% module_attribute “title” %}Benieuwd naar hoe wij uw IT-structuur op orde kunnen brengen?{% end_module_attribute %}{% module_attribute “css” %}{}{% end_module_attribute %}{% module_attribute “child_css” %}{}{% end_module_attribute %}{% end_module_block %}
NIS-2: welke verplichtingen heeft u?
Als een onderneming onder NIS-2 valt dan kent dit een aantal verplichtingen:
- Zorgplicht: ondernemingen moeten zelf een risicoanalyse uitvoeren. Op basis daarvan moeten zij zorgen voor passende (technische én organisatorische) beveiligingsmaatregelen. Dit met als doel de vertrouwelijkheid en continuïteit van de gegevensverwerking zo veel als mogelijk te waarborgen.
- Meldplicht: incidenten die de verlening van een essentiële dienst aanzienlijk kunnen verstoren, moeten binnen 24 uur gemeld worden bij de toezichthouder. Cyberincidenten moeten aanvullend ook gemeld worden bij het Computer Security Incident Response Team (CSIRT).
- Toezicht: zoals hierboven beschreven, is er sprake van toezicht en de naleving van verplichtingen die voortvloeien uit zorgplicht en meldplicht.
NIS-2: Waar begint u?
Op dit moment zijn een aantal uitwerkingen van NIS-2 nog onderhanden, denk aan het toezichtsregime en het vertalen van de NIS-2 directive naar Nederlandse wetgeving. Desalniettemin is het verstandig om nu al na te denken over de komst van NIS-2 en de effecten ervan. Ook als u (nog) niet onder NIS-2 valt is het altijd verstandig om na te denken over deze IT- en cyberrisico’s alsmede de getroffen (of nog te treffen) maatregelen.
Ongeacht de situatie kunnen wij als IT-audit team van Newtone u hierbij ondersteunen. Wij beschikken over ruime ervaring als het gaat om het uitvoeren van risicoanalyses en het daarbij beoordelen of beveiligingsmaatregelen aanwezig zijn. En wat de eventuele tekortkomingen zijn. Wij kunnen u adviseren en aangeven welke maatregelen ontbreken of aangescherpt moeten worden.
Meer weten over de ondersteuning die wij u kunnen bieden? Neem vrijblijvend contact op via +31 881 948 075 of roel.ronken@newtone.nl.
Ook interessant
Gerelateerde berichten Berichten
Blijf op de hoogte dankzij de inzichten van onze specialisten. Lees nieuws en blogs over ‘dienst’ die nieuwe invalshoeken bieden op actuele onderwerpen.
