NIS2 richtlijn: wat moet het management weten?
Download NIS2 brochure
In een tijd waarin cyberdreigingen steeds geavanceerder worden, heeft de Europese Unie de NIS2-richtlijn geïntroduceerd als een maatregel om de cyberbeveiliging en de digitale weerbaarheid van EU-lidstaten te versterken. Als opvolger van de oorspronkelijke NIS-richtlijn, brengt NIS2 enkele nieuwe verplichtingen en uitdagingen met zich mee die directe aandacht vereisen van het management binnen organisaties. Dit artikel belicht de kernpunten van NIS2 en wat het topmanagement moet weten om te zorgen voor naleving en optimale voorbereiding.
Uitgebreide sectorale dekking
De NIS2-richtlijn is niet enkel beperkt tot traditioneel vitale sectoren zoals energie, transport en gezondheidszorg, maar strekt zich nu ook uit tot andere sectoren waaronder de overheid en digitale dienstverleners. Dit betekent dat een breder scala aan organisaties nu binnen de reikwijdte van de richtlijn valt en moet voldoen aan de nieuwe cybersecurity normen.
Ketenverplichtingen
Bedrijven die onder NIS2 vallen moeten ook maatregelen nemen om te borgen dat de beveiliging van hun leveranciers en partners geborgd is. Dit noemen we ketenverantwoordelijkheid. Dit kan een grote impact hebben op toeleveranciers van deze sectoren. In de praktijk zullen we zien dat sectoren onder de NIS2 meer eisen gaan stellen aan hun leveranciers en het zal een toetsingscriteria worden in aanbestedingen.
Verplichtingen
Kernverplichtingen onder de NIS2 omvatten een zorgplicht en meldplicht voor incidenten. Organisaties zijn verplicht om zelf een risicobeoordeling uit te voeren en op basis daarvan passende maatregelen te nemen om hun diensten en informatie te beschermen. Bij incidenten die de dienstverlening sterk (kunnen) verstoren, is er een meldplicht binnen 24 uur aan de toezichthouder. Verder moeten cyberincidenten ook bij het CSIRT gemeld worden voor hulp en bijstand.
Toezicht en handhaving
De NIS2-richtlijn voorziet in onafhankelijk toezicht op de naleving van de verplichtingen uit de richtlijn. Het is belangrijk voor het management om te begrijpen wie de toezichthouders zijn en hoe de handhaving in de praktijk zal worden uitgevoerd, inclusief de mogelijke boetes en sancties bij niet-naleving.
Voorbereiding op NIS2
Voorbereiding is cruciaal om te voldoen aan de NIS2-richtlijn. Dit omvat het actualiseren van bestaande cybersecuritybeleid en -procedures, het versterken van incidentresponsplannen en het waarborgen van voldoende middelen en expertise om aan de verplichtingen van de richtlijn te voldoen. De basis voor de voorbereiding op NIS2 kan worden gevonden in bestaande kaders voor informatiebeveiliging, zoals de Baseline Informatiebeveiliging Overheid (BIO) voor overheidsinstanties.
Communicatie en training
De mensen in je organisatie, zijn een van de belangrijkste als het gaat om het voorkomen van succesvolle cyber aanvallen. Het is dan ook essentieel dat het management zorgt voor een brede bewustwording en begrip van de NIS2-verplichtingen binnen de organisatie. Dit kan worden bereikt door middel van trainingen, informatiesessies en continue communicatie over de veranderingen die NIS2 met zich meebrengt.
Conclusie
De NIS2-richtlijn brengt nieuwe verplichtingen en uitdagingen met zich mee die een proactieve benadering vereisen van het management. Een gedegen begrip van de richtlijn, de verplichtingen en de mogelijke gevolgen van niet-naleving is cruciaal voor het waarborgen van de cyberweerbaarheid en het minimaliseren van risico’s. Door nu actie te ondernemen en een gedegen plan op te stellen, kunnen organisaties zich positioneren om niet alleen te voldoen aan de NIS2-richtlijn, maar ook om hun algehele cybersecuritypostuur te versterken in het licht van het evoluerende cyberdreigingslandschap.
NIS2 brochure
Uitgebreide informatie over NIS2 is te vinden in onze NIS2 brochure. Deze is te downloaden onderaan deze pagina.