Security Awareness- Test jouw cyberweerbaarheid en ontvang direct het resultaat!
Support

NIS2 Compliance voor het MKB | Praktische gids voor cybersecurity & wetgeving

NIS2 Compliance voor MKB

Inhoudsopgave

Het kan u niet ontgaan zijn. De nieuwe richtlijn vanuit de Europese Unie (EU) om cyberbeveiliging en de weerbaarheid van de belangrijkste diensten in de EU te verbeteren. Dit gaat over de NIS2- richtlijn en hoewel dat misschien niet gelijk mega interessant klinkt, is het wel ontzettend belangrijk. Daarom neemt ValueIT u even mee, zodat u helemaal op de hoogte bent van deze grote verandering in de informatiebeveiliging.

Voor wie geld de NIS2?

Een van de grote veranderingen van de NIS2-richtlijn, is niet alleen dat de beveiligingsnormen en meldingsvereisten strenger zijn. Ook moeten veel meer sectoren hieraan voldoen, en is de kans dat u er mee te maken hebt veel groter.

Geen overbruggingsperiode, geen tijd om ‘rustig aan te doen, of ‘ nu eerst 50%’, dus ‘essentiële’ en ‘belangrijke’ organisaties moeten klaar zijn voor dit moment. 

Bent u ‘essentieel’ of ‘belangrijk’? Uiteraard, maar de overheid kijkt hiervoor naar de sector en de omzet van uw bedrijf. Er zijn uiteraard uitzonderingen, maar over het algemeen voldoet de onderstaande flowchart gemaakt door de overheid. En anders kan de zelfevaluatietool ook extra duidelijkheid geven.

Moet ik mijn organisatie registreren als NIS2-entiteit?
Klik op afbeelding om te vergroten*

Uw verplichtingen omtrent NIS2?

Duidelijk, u bent verplicht om aan de NIS2-richtlijn te voldoen. Wat betekent dat? Het betekent dat u een aantal plichten heeft, welke we hieronder uitleggen.

  • Zorgplicht: tien maatregelen om netwerk- en informatiesystemen beter te beschermen.
    • Risicoanalyse: waar is de kans op incidenten het grootst en hoe pakken we dat aan
    • Beveiliging versterken bij personeel, toegang en bedrijfsmiddelenbeheer
    • Bedrijfscontinuïteitplan: hoe verkleinen we de impact bij incidenten
    • Incident Response Plan: wat doen we bij incidenten
    • Cyberhygiëne: zorg dat de basisprincipes van cyberveiligheid bekend zijn
    • Beleid voor beveiliging van netwerk- en informatiesystemen, zodat toegang mogelijk blijft
    • Leveranciersbeveiliging: zorg dat ook leveranciers geen risico’s vormen voor incidenten
    • Cryptografie en encryptie: zorg dat de gegevens beveiligd zijn
    • MFA of vergelijkbare oplossingen: om toegang te krijgen, zijn ‘dubbele wachtwoorden’ nodig
    • Beoordelingssysteem voor het effect van de maatregelen
  • Meldplicht: mocht er een incident plaatsvinden, moet u hiervan melding maken in het NCSC-portaal. Hierbij zijn er verschillende fases:
    • Binnen 24 uur: kwaadaardig voorval met mogelijke gevolgen
    • Binnen 72 uur: beoordeling van het incident
    • Binnen 1 maand: eindrapport van incident
  • Registratieplicht: u bent ‘essentieel’ of ‘belangrijk’ volgens de criteria van de overheid en bent dus gebonden aan de NIS2-richtlijn. In dit geval is een registratie in het entiteitenregister verplicht. De Europese Unie vergroot zo zijn zicht op de digitale weerbaarheid van deze organisaties en kan makkelijker ingrijpen om grote catastrofes te voorkomen.
  • Toezicht: hierin is het grote verschil tussen ‘belangrijke’ en ‘essentiële’ organisaties. Belangrijk wordt achteraf gecontroleerd, maar bent u essentieel is er een proactief toezicht, ook als er niks aan de hand is. Deze toezichthouders opereren onafhankelijk.

Verplichtingen van de Overheid:

Verplichtingen zijn er niet alleen voor organisaties, ook de overheid heeft een aantal verplichte taken. De controlerende taken zijn al benoemd, maar ook zal de overheid u ondersteunen, mocht u onder de NIS2-richtlijn vallen. De lidstaten zijn namelijk verplicht om met advies en bijstand te helpen, zodat de algemene weerbaarheid tegen digitale aanvallen sterker wordt. 

De overheid zal ook bijstaan met onder andere informatie-uitwisselingen, richtlijnen en weerbaarheid verhogende instrumenten.

Waarom dit allemaal?

Als uw organisatie valt onder de richtlijnen van de NIS2 heeft u niet echt een keuze. Het is verplicht vanuit de wet! Mocht u dit een beetje op zijn loop laten of niet goed aanpakken, heeft de overheid stevige instrumenten om u op weg te helpen, met als uiterste middel flinke boetes.

Wij denken echter dat deze stok achter de deur niet nodig zou hoeven te zijn. Het is namelijk in het belang van uw organisatie om een goede informatiebeveiliging te hebben. Namelijk, de wereld wordt niet minder digitaal en terwijl dit toenemend is het van belang om niet onbeschermd deze wereld te betreden. Zelfs als uw organisatie niet verplicht is om hieraan te voldoen, kan het geen kwaad om deze eens goed te bekijken. Het is immers voor iedere organisatie essentieel om de cybersecurity in orde te hebben!

Direct advies op maat?

Wil je meer informatie?

Meer weten over dit onderwerp? Neem gerust contact op met de ValueIT helpdesk. Wij staan altijd voor je klaar! 

En meld je aan voor onze nieuwbrief; Altijd informatief en nooit SPAM. 

Ik will meer informatie

* Bron: https://www.ncsc.nl/cyberbeveiligingswet-nis2/bereid-je-voor/aan-de-slag 

Deel deze post
Altijd het laatste ICT-nieuws in jouw inbox?

Dat kan! Laat hieronder je e-mailadres achter en we beloven niet vervelend te zijn.

We hebben nog meer
Klaar om jouw ICT waardevol in te gaan zetten?

Neem vrijblijvend contact met ons op!

Contact opnemen

Bedankt voor je interesse in onze Security Awareness Training!

We nemen binnen 2 werkdagen contact met je op.

Terug naar onze website