Ben jij NIS2 Ready?

Op Donderdag, 3 Oktober, 2024, 13:51

Na de GDPR staat er weer nieuwe Europese securitywet in de steigers: de Network and Information Security (NIS2). Dit is momenteel nog een richtlijn, maar wordt snel omgezet naar harde wet- en regelgeving. Is jouw organisatie daar klaar voor?

De NIS2 is de opvolger van de NIS1. De richtlijn heeft tot doel meer Europese organisaties uit diverse sectoren weerbaarder te maken. Daarvoor moeten ze onder andere cyber securityincidenten binnen 24 uur melden, zelf een risicobeoordeling uitvoeren en bij de toezichthouder Rijksinspectie Digitale Infrastructuur (RDI) kunnen aantonen dat ze aan de richtlijnen voldoen. In de NIS2 zijn meer securitymaatregelen opgenomen dan de NIS1 en GDPR. Deze maatregelen gelden ook voor meer sectoren – en dan vooral sectoren met een maatschappelijk belang. De richtlijn wordt momenteel vertaald naar Nederlandse wetgeving.

Valt jouw organisatie onder de NIS2?

De NIS2-richtlijn geldt voor organisaties van een bepaalde omvang die actief zijn in kritieke sectoren. Kan uitval van jouw diensten leiden tot maatschappelijke en economische ontwrichting? Dan moet je aan de NIS2 voldoen. De richtlijn maakt onderscheid tussen ‘zeer kritieke’ en ‘kritieke’ branches. Denk bij ‘zeer kritieke’ branches aan onder andere de energie-, transport-, financiële en overheidssector. Onder ‘kritieke’ organisaties vallen bijvoorbeeld levensmiddelenproducenten, providers en wetenschappelijke organisaties. Het wetsvoorstel maakt het ook mogelijk onderwijsinstellingen onder de cybersecuritywet te brengen. Binnen de kritieke branches is de cyberbeveiligingsrichtlijn van toepassing op ‘grote’ (minimaal 250 werknemers of jaaromzet van minstens 50 miljoen euro of balanstotaal van 43 miljoen euro) en ‘middelgrote’ organisaties (minimaal 50 werknemers of jaaromzet van minstens 10 miljoen euro of balanstotaal van 10 miljoen euro).

Wat gaat er veranderen?

De beveiligingsnormen van de NIS2 zijn strenger dan die van zijn voorganger. Als kritieke organisatie heb je een zorgplicht. Wat dat betekent? Je moet zelf een risicobeoordeling uitvoeren en bent verplicht op basis daarvan passende securitymaatregelen te nemen om jouw data en die van derden te beveiligen. De tweede grote verandering is dat kritieke organisaties volgens de NIS2 onder toezicht van de RDI vallen. Deze toezichthouder controleert of zij zich wel aan de richtlijn houden. Tot slot bevat de NIS2 een meldplicht. Is er een securityincident of datalek? Dan moet je dit binnen 24 uur aan de toezichthouder doorgeven. Wanneer je als ‘zeer kritieke’ organisaties niet voldoet aan de NIS2, kan je een boete krijgen van maximaal 10 miljoen euro of 2 procent van de totale jaaromzet. Voor ‘kritieke’ bedrijven kan deze boete oplopen tot 7 miljoen euro of 4 procent van de jaaromzet.

Hoe pas jij jouw security aan?

Als ‘(zeer) kritieke’ organisatie kun je verschillende maatregelen nemen om aan de NSI2 te voldoen. We hebben de belangrijkste voor je op en rijtje gezet:

Een risicoanalyse en beveiliging van informatiesystemen
Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van assets
Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen
Incidentenbehandeling
Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging
Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden
Beveiliging van de toeleveranciersketen
Beleid en procedures over het gebruik van cryptografie en encryptie
Multifactorauthenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen
Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen

De NIS2 is een goede aanleiding om de volledige security eens onder de loep te nemen. Wil je jouw security analyseren en weten hoe je die relatief eenvoudig naar een hoger plan tilt? Computrain biedt verschillende trainingen om jouw security te updaten voor onder andere de NIS2.

Bekijk hier de opleidingen: Security Management trainingen en opleidingen

Wellicht ook interessant

Op Donderdag, 14 November, 2024, 15:38

CZ en Computrain ontwikkelen maatwerk leertraject

De kloof aan openstaande IT-vacatures lijkt onoverbrugbaar: er zijn eenvoudigweg te weinig starters en externe specialisten beschikbaar op de markt om alle IT-vacatures in te vullen. Hoe kunnen organisaties dan toch de gewenste IT-expertise in huis halen? Computrain en CZ sloegen de handen ineen en startten de CZ IT Academy.

Wat is de CZ IT Academy en hoe is deze tot stand gekomen? Waarom hebben CZ en Computrain bepaalde keuzes hierin gemaakt? Wat was de uitdaging van CZ precies? Hoe hebben CZ en Computrain hier gezamenlijk een plan voor gemaakt en wat heeft dat CZ gebracht? In dit artikel vertellen de initiatiefnemers van dit project, Marko van Beurden (Product Owner bij CZ) en Sjon Post (Portfolio Manager Computrain) meer over dit educatieve partnership tussen CZ en Computrain.

Lees verder

Op Woensdag, 6 Maart, 2024, 10:38

Het Robuuste Team: creëer stabiliteit in veranderende omstandigheden

Wat is de robuustheid van jouw team en hoe verbeter je die? In de training Het Robuuste Team krijg je inzicht in de middelen, activiteiten en competenties van een team en praktische handvatten om dit team robuuster te maken.

Lees verder

Op Woensdag, 17 Januari, 2024, 13:10

Samenwerking Computrain en NCOI Learning

Computrain en het Belgische NCOI Learning gaan een partnership aan. Wat houdt deze samenwerking in, wat zijn de redenen daarachter en wat betekent dit voor klanten? In dit artikel vertellen Martijn Steffers, Algemeen Directeur Computrain en Marleen De Greef, Directeur NCOI Learning, meer over het samenwerkingsverband.

Lees verder