De herziene Network and Information Security Directive, NIS2, is de nieuwe richtlijn die het Europese niveau van cyberveiligheid moet gaan verhogen. In eerdere blogs vertelden we je al wat de NIS2 inhoudt en welke sectoren er onder vallen . Blijkt jouw organisatie (nog) niet onder deze richtlijn te vallen? Dan is het alsnog meer dan verstandig om passende actie te ondernemen. Want ook al valt jouw organisatie niet onder de NIS2, de kans is namelijk groot dat je toch deels aan de richtlijn moet voldoen. En wel omdat je zakendoet met organisaties die er wél onder vallen.
Lees hier hoe dat zit en wat jij kunt doen om voor veiligheid in de keten te zorgen, voordat de NIS2 een feit is.
De NIS2 in het kort:
De NIS2 is bedoeld voor grote en middelgrote bedrijven in essentiële en belangrijke sectoren, die op maatschappijniveau het meest kwetsbaar zijn bij cyberaanvallen. Denk aan energiemaatschappijen, lokale overheden en aanbieders van digitale diensten.
Samenwerken met een NIS2-organisatie: zorg voor veiligheid in de keten
Dé reden waarom deze richtlijn ook voor jouw organisatie relevant is: bedrijven die geraakt worden door de NIS2-richtlijn zijn verplicht om voor cyberveiligheid in de keten te zorgen. Kwetsbare onderdelen in een keten maken immers die gehele keten onveilig. Zulke kwetsbaarheden kunnen bestaan uit software en hardware, waardoor onvoldoende beveiligingsmaatregelen worden genomen tegen hackers of malware. Maar ook (sterker nog: juist) correct menselijk handelen is essentieel om cyberrisico’s in te dammen. Op procesniveau dienen er bijvoorbeeld snel de juiste maatregelen genomen te worden bij een cyberincident, om efficiëntie en operationele continuïteit te garanderen.
In de praktijk houdt dit in dat een opdrachtgever een bepaald beveiligingsniveau van jouw organisatie verwacht en misschien zelfs wel eist. Je kunt afwachten tot zij jou hiervan op de hoogte stellen, maar een proactieve aanpak is vele malen verstandiger. Deze richtlijn gaat namelijk eind 2024 al in. Uiterlijk 17 oktober dient de NIS2 beklonken te zijn in wetgeving. De Cyberbeveiligingswet is dan een feit. Daarmee vervalt de Wet beveiliging netwerk- en informatiesystemen (Wnbi), die in 2018 werd opgesteld vanuit de eerste NIS. Op het moment dat de Cyberbeveiligingswet ingaat, dienen organisaties die onder de NIS2-richtlijn vallen hun cybersecurity op orde te hebben. En veiligheid in de keten valt daar dan ook onder.
Voldoe aan deze normen: handige NIS2-handvatten
Geen idee hoe jouw organisatie straks kan voldoen aan de NIS2? Als handvatten zijn bepaalde normenkaders beschikbaar zoals ISO27001, Cyra en het NIS2-keurmerk. De kans is groot dat jullie ketenpartner een van deze bestaande normen zal voordragen als normenkader waar jouw onderneming aan dient te voldoen.
ISO27001
De ISO27001 is een mondiale certificering voor informatiebeveiliging. De ISO/IEC 27001-norm geeft organisaties van elk formaat en uit alle sectoren richtlijnen voor het opzetten, implementeren, onderhouden en continu verbeteren van hun informatiebeveiliging. Die ISO-certificering is niet voor iedere onderneming haalbaar of relevant; zeker voor het mkb zal deze niet altijd van toepassing zijn.
CYRA
Een framework dat een mooie leidraad biedt om aan de NIS2 te voldoen, is CYRA. CYRA staat voor Cyber Rating en dit is een onafhankelijk opgesteld framework voor maatregelen omtrent informatiebeveiliging en privacy. Deze vertaalt normering naar makkelijkere handvatten voor organisaties en er kan gedifferentieerd worden in niveaus.
NIS2 Quality Mark
Een andere handige norm die alle maatregelen in een overzichtelijke leidraad heeft gegoten, is de NIS2 Quality Mark. Deze geeft een antwoord op de vraag: ‘wanneer heeft mijn onderneming volgens de NIS2 voldoende gedaan om voor veiligheid in de keten te zorgen?’.
Het grote voordeel van normen zoals CYRA, NIS2 Quality Mark en ISO is dat ze in alle sectoren voor uniformiteit kunnen zorgen. Zo staan de neuzen binnen jouw organisatie dezelfde kant op als die van je ketenpartners en leveranciers bijvoorbeeld. Ook al hoef je je (nog) niet druk te maken over de NIS2, met zo’n gedeeld kader weten zowel jij als je klanten dat de cyberveiligheid verbeterd wordt. En dat is natuurlijk het belangrijkste.
Check of je organisatie onder de Cyberbeveiligingswet / NIS2 valt
Wil je zeker weten of je organisatie aan de verplichtingen van de NIS2 dient te voldoen? Op de website van de Rijksoverheid is dit te checken aan de hand van een vragenlijst. Deze is hier te vinden.
Wil je zeker weten dat je de juiste stappen neemt om aan de NIS2 te voldoen? Integripro kan helpen. Kom gerust met ons in contact voor een vrijblijvend verkennend gesprek. Onze cyber-experts kunnen je voorzien van advies, maar ook in elke te nemen stap bijstaan.
Ook als jouw onderneming (net) niet onder de NIS2 valt, raden we aan te onderzoeken welke passende maatregelen je kunt nemen op het gebied van cyberveiligheid. Want ook voor jouw onderneming geldt dat een bepaald niveau van veiligheid nodig is. We kunnen je hierin bijstaan door ervoor te zorgen dat de veiligheid conform de norm is, zodat zowel jij als je klanten gerustgesteld kan ondernemen.
