Zelf ondervinden hoe je een cyber security framework kan implementeren zoals NIS2
Geplaatst op: 28 maart 2024
De afgelopen tijd is er al veel geschreven over NIS2 en allerlei verschillende oplossingen die je helpen om compliant te worden. Natuurlijk is dit geheel waar, maar soms wordt daarbij het wel allemaal wat onoverzichtelijk. Wil je het overzicht behouden? Probeer eens een GRC tooling in te zetten om het overzicht te behouden en de verschillende oplossingen op een logische manier aan elkaar te koppelen.
NIS2: de volgende Europese richtlijn met betrekking tot cyber security
NIS2, de tweede Europese richtlijn inzake de security van je netwerk- en informatiesystemen, stelt strenge eisen aan organisaties die cruciale infrastructuur beheren of digitale diensten leveren. Deze richtlijn heeft als doel de weerbaarheid tegen cyber dreigingen te vergroten en de impact van incidenten te minimaliseren.
Voor bedrijven betekent naleving van NIS2 niet alleen het voldoen aan wettelijke vereisten, maar ook het beschermen van digitale assets, het waarborgen van de bedrijfscontinuïteit en het voorkomen van financiële en imago schade.
De rol van GRC tooling
Governance, Risk & Compliance (GRC) tooling biedt organisaties een gestructureerde aanpak voor het beheer van regelgevingsvereisten, risico’s en nalevingsprocessen. Deze tools automatiseren en stroomlijnen het auditproces waardoor organisaties tijd en middelen kunnen besparen, terwijl ze toch voldoen aan complexe regelgeving zoals NIS2.
De voordelen van GRC tooling voor je eigen NIS2 audit
- Centralisatie van gegevens: GRC tooling biedt een centrale repository voor alle relevante gegevens met betrekking tot cyber security en naleving, waardoor het gemakkelijker wordt om gegevens te beheren, te analyseren en te rapporteren tijdens een NIS2 audit.
- Automatisering van processen: Door het automatiseren van auditprocessen, zoals het verzamelen van bewijsmateriaal, het valideren van controles en het genereren van rapporten, kunnen organisaties de efficiëntie verbeteren en menselijke fouten minimaliseren.
- Risicobeheer: GRC tools helpen bij het identificeren, evalueren en beheren van risico’s die van invloed kunnen zijn op de naleving van NIS2. Door risico’s proactief aan te pakken, kunnen organisaties potentiële zwakke punten identificeren en corrigerende maatregelen nemen voordat ze een probleem worden.
- Nalevingscontroles: GRC tooling biedt ingebouwde controlemechanismen om ervoor te zorgen dat organisaties voldoen aan de vereisten van NIS2. Deze controles kunnen worden aangepast aan de specifieke behoeften van de organisatie en helpen bij het aantonen van naleving tijdens een audit.
GRC tooling maakt het eenvoudiger
NIS2 naleving is een complexe en nog een uitdagende taak die veel organisaties erbij krijgen, maar met de juiste aanpak en tools kunnen ze de benodigde stappen nemen om aan de vereisten te voldoen en een sterkere cyber security cultuur neer te zetten. GRC tooling biedt een geïntegreerde en gestructureerde aanpak voor het beheer van regelgevingsvereisten en risico’s waardoor organisaties compliant kunnen blijven en tegelijkertijd operationele efficiëntie kunnen behouden.
Cyberday.ai
Geïnspireerd geraakt door onze blog? Neem dan eens een kijkje op de website van cyberday.ai, één van onze partners. Wij hebben deze tooling gebruikt om bij meerdere klanten de verschillende cyber security frameworks te implementeren zonder het overzicht te verliezen. Wil je weten hoe OpenSight jouw organisatie kan ondersteunen? Dan kan dat natuurlijk ook. Plan vrijblijvend een afspraak met ons in.
NIS2 richtlijn: wat moet het management weten?
Geplaatst op: 11 januari 2024
In een tijd waarin cyberdreigingen steeds geavanceerder worden, heeft de Europese Unie de NIS2-richtlijn geïntroduceerd als een maatregel om de cyberbeveiliging en de digitale weerbaarheid van EU-lidstaten te versterken. Als opvolger van de oorspronkelijke NIS-richtlijn, brengt NIS2 enkele nieuwe verplichtingen en uitdagingen met zich mee die directe aandacht vereisen van het management binnen organisaties. Dit artikel belicht de kernpunten van NIS2 en wat het topmanagement moet weten om te zorgen voor naleving en optimale voorbereiding.
Uitgebreide sectorale dekking
De NIS2-richtlijn is niet enkel beperkt tot traditioneel vitale sectoren zoals energie, transport en gezondheidszorg, maar strekt zich nu ook uit tot andere sectoren waaronder de overheid en digitale dienstverleners. Dit betekent dat een breder scala aan organisaties nu binnen de reikwijdte van de richtlijn valt en moet voldoen aan de nieuwe cybersecurity normen.
Ketenverplichtingen
Bedrijven die onder NIS2 vallen moeten ook maatregelen nemen om te borgen dat de beveiliging van hun leveranciers en partners geborgd is. Dit noemen we ketenverantwoordelijkheid. Dit kan een grote impact hebben op toeleveranciers van deze sectoren. In de praktijk zullen we zien dat sectoren onder de NIS2 meer eisen gaan stellen aan hun leveranciers en het zal een toetsingscriteria worden in aanbestedingen.
Verplichtingen
Kernverplichtingen onder de NIS2 omvatten een zorgplicht en meldplicht voor incidenten. Organisaties zijn verplicht om zelf een risicobeoordeling uit te voeren en op basis daarvan passende maatregelen te nemen om hun diensten en informatie te beschermen. Bij incidenten die de dienstverlening sterk (kunnen) verstoren, is er een meldplicht binnen 24 uur aan de toezichthouder. Verder moeten cyberincidenten ook bij het CSIRT gemeld worden voor hulp en bijstand.
Toezicht en handhaving
De NIS2-richtlijn voorziet in onafhankelijk toezicht op de naleving van de verplichtingen uit de richtlijn. Het is belangrijk voor het management om te begrijpen wie de toezichthouders zijn en hoe de handhaving in de praktijk zal worden uitgevoerd, inclusief de mogelijke boetes en sancties bij niet-naleving.
Voorbereiding op NIS2
Voorbereiding is cruciaal om te voldoen aan de NIS2-richtlijn. Dit omvat het actualiseren van bestaande cybersecuritybeleid en -procedures, het versterken van incidentresponsplannen en het waarborgen van voldoende middelen en expertise om aan de verplichtingen van de richtlijn te voldoen. De basis voor de voorbereiding op NIS2 kan worden gevonden in bestaande kaders voor informatiebeveiliging, zoals de Baseline Informatiebeveiliging Overheid (BIO) voor overheidsinstanties.
Communicatie en training
De mensen in je organisatie, zijn een van de belangrijkste als het gaat om het voorkomen van succesvolle cyber aanvallen. Het is dan ook essentieel dat het management zorgt voor een brede bewustwording en begrip van de NIS2-verplichtingen binnen de organisatie. Dit kan worden bereikt door middel van trainingen, informatiesessies en continue communicatie over de veranderingen die NIS2 met zich meebrengt.
Conclusie
De NIS2-richtlijn brengt nieuwe verplichtingen en uitdagingen met zich mee die een proactieve benadering vereisen van het management. Een gedegen begrip van de richtlijn, de verplichtingen en de mogelijke gevolgen van niet-naleving is cruciaal voor het waarborgen van de cyberweerbaarheid en het minimaliseren van risico’s. Door nu actie te ondernemen en een gedegen plan op te stellen, kunnen organisaties zich positioneren om niet alleen te voldoen aan de NIS2-richtlijn, maar ook om hun algehele cybersecuritypostuur te versterken in het licht van het evoluerende cyberdreigingslandschap.
NIS2 brochure
Uitgebreide informatie over NIS2 is te vinden in onze NIS2 brochure. Deze is te downloaden onderaan deze pagina.
Ontwikkelingen omtrent NIS2
Geplaatst op: 13 december 2023
De NIS2-richtlijn is een initiatief van de Europese Unie dat de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten beoogt te verbeteren. Deze richtlijn, die momenteel in Nederlandse wetgeving wordt omgezet, is een uitbreiding van de eerdere NIS-richtlijn en omvat meer sectoren, stelt strengere beveiligingsnormen en introduceert meldingsvereisten voor incidenten. Geen verrassing dus dat het in menig directie overleg een belangrijk onderwerp geworden is.
Belangrijkste ontwikkelingen:
- Uitgebreide sectorale dekking:
De NIS2-richtlijn gaat gelden voor sectoren en organisaties die van vitaal belang zijn voor de maatschappij zoals gezondheidszorg, transport, energieaanbieders, overheidsdiensten, levensmiddelen, waterbeheerbedrijven en digitale aanbieders. - Verplichtingen en toezicht:
Onder de NIS2-richtlijn zijn entiteiten verplicht om een risicobeoordeling uit te voeren en op basis daarvan passende maatregelen te nemen om hun diensten en informatie te beschermen. Incidenten die de dienstverlening sterk (kunnen) verstoren moeten binnen 24 uur bij de toezichthouder worden gemeld. De NIS2-richtlijn voorziet ook in toezicht op de naleving van de verplichtingen uit de richtlijn door een onafhankelijke toezichthouder. - Overgang naar nationale wetgeving:
De EU heeft de NIS2-richtlijn vastgesteld en deze wordt nu vertaald naar Nederlandse wetgeving, waarbij details worden uitgewerkt over welke organisaties onder de richtlijn vallen en wat de exacte verplichtingen zullen zijn.
Informatiesessies en voorbereiding
OpenSight organiseert verschillende informatie sessies waarin dieper ingegaan wordt op hoe de wetgeving in elkaar zit en hoe het correspondeert met andere frameworks zoals BIO, ISO27001, NEN7510 en NIST. De verplichtingen van de NIS2-richtlijn zijn in grote mate in lijn met bestaande kaders voor informatiebeveiliging, wat een interessant aanknopingspunt biedt. OpenSight zal deze sessie beginnen te organiseren in het eerste kwartaal van het nieuwe jaar. Een uitnodiging ontvangen wanneer de datum van deze sessie bekend is?
Klik hier om je interesse door te geven.
Vanuit onze ervaring met het implementeren van kaders, is het goed tijdig te beginnen met de voorbereidingen. Een gemiddelde organisatie heeft ongeveer 12 maanden nodig om een nieuw kader zodanig te implementeren dat het goed functioneert en onderdeel is van de dagelijkse gang van zaken.
NIS2 verplichtingen
De NIS2-richtlijn legt diverse verplichtingen op aan entiteiten om de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te versterken. Een kernverplichting is de zorgplicht, waarbij entiteiten worden verplicht om zelf een risicobeoordeling te verrichten en op basis daarvan passende maatregelen te nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
Verder introduceert de richtlijn een meldplicht voor incidenten. Entiteiten moeten incidenten die de verlening van de essentiële dienst sterk (kunnen) verstoren binnen 24 uur bij de toezichthouder melden. Cyberincidenten moeten ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden, welke vervolgens hulp en bijstand kan leveren. De factoren die een incident meldingswaardig maken, omvatten bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
Tenslotte schrijft de NIS2-richtlijn toezicht voor op organisaties die onder de richtlijn vallen. Er zal een onafhankelijke toezichthouder worden aangesteld om de naleving van de verplichtingen uit de richtlijn te controleren, zoals de zorg- en meldplicht. De exacte invulling van het toezicht, inclusief welke toezichthouder verantwoordelijk zal zijn voor de sector overheid, wordt nog nader bepaald, met de intentie om gebruik te maken van bestaande verantwoordingsstructuren en te streven naar harmonisering van deze structuren.
NIS2 brochure
Uitgebreide informatie over NIS2 is te vinden in onze NIS2 brochure. Deze is te downloaden onderaan deze pagina.
ISO 27001 gecertificeerd? Dan ben je bijna zeker ook NIS2 compliant!
Geplaatst op: 31 oktober 2023
Er zijn verschillende manieren voor organisaties om hun informatiebeveiligingsbeheer te verbeteren, waaronder met een ISO 27001-certificering en NIS2-compliance. De ISO 27001-certificering is de internationale norm voor informatiebeveiliging. Omdat veel organisaties zich op het moment afvragen of het behalen van een ISO 27001-certificering betekent dat ze ook NIS2-compliant zijn, lichten wij het antwoord kort toe in deze blogpost.
Wat zijn de NIS2 en ISO 27001?
De ISO 27001 is een internationale norm voor informatiebeveiliging. Het is een framework dat richtlijnen biedt voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS). Een ISMS is een geheel van beleidslijnen, procedures, technologieën én fysieke maatregelen die een organisatie gebruikt om informatie te beschermen tegen verschillende bedreigingen zoals hackers, malware en menselijke fouten.
De NIS2, of de Europese richtlijn inzake beveiliging van netwerk- en informatiesystemen, daarentegen is een wetgevingsinitiatief van de Europese Unie dat gericht is op het waarborgen van de veiligheid van netwerken en informatiesystemen. Het stelt minimale beveiligingsmaatregelen vast voor organisaties die actief zijn in vitale sectoren zoals energie, gezondheidszorg, transport en financiële diensten. Organisaties die onder deze richtlijnen vallen, moeten onder meer risicoanalyses uitvoeren, veiligheidsmaatregelen implementeren en incidenten melden aan de nationale autoriteiten.
ISO 27001-gecertifieerd? Dan is de NIS2 een eenvoudige volgende stap
Het hebben van een ISO 27001-certificering betekent dat een organisatie een uitgebreid informatiebeveiligingsbeheersysteem (ISMS) heeft geïmplementeerd dat voldoet aan internationale normen voor informatiebeveiliging. Omdat NIS2-compliance eenzelfde set aan regels en acties vereist van organisaties, is het behalen van de ISO 27001-certificering bijna een garantie voor NIS2-compliancy.
Zijn er ook verschillen tussen ISO 27001 en NIS2?
Hoewel er enige overlap is tussen ISO 27001 en NIS2, zijn er ook wat verschillen. De NIS2 vereist bijvoorbeeld dat organisaties bepaalde technische maatregelen implementeren, zoals monitoring- en detectiesystemen en incidentresponsplannen, die niet expliciet worden vereist door ISO 27001. Bovendien is NIS2 gericht op specifieke sectoren en organisaties, terwijl ISO 27001 van toepassing is op alle soorten organisaties. Wanneer je alle maatregelen die gelden voor de ISO 27001 goed hebt geïmplementeerd, inclusief de aanschaf van monitoring- en detectiesystemen zoals hierboven genoemd, hoef je je dus geen zorgen te maken of je wel NIS2 compliant bent.
Voordelen van ISO 27001-certificering
Het behalen van ISO 27001-certificering helpt organisaties daarna eenvoudig te voldoen aan NIS2-vereisten en vergemakkelijkt de weg naar NIS2-compliance. Veel van de procedures en processen die nodig zijn voor ISO 27001-certificering, zoals risicobeoordelingen, beveiligingsbeoordelingen en audits, zijn namelijk ook belangrijk voor NIS2-compliance. Door deze procedures al te hebben geïmplementeerd, ben je een stuk beter voorbereid op de NIS2.
Als jouw organisatie nog geen ISO 27001-certificering heeft en je je wilt richten op NIS2-compliance, dan kan OpenSight helpen. OpenSight is gespecialiseerd in NIS2 compliance. Onze experts helpen je dan ook graag bij het implementeren van de technische maatregelen en bij het opstellen van de vereiste documentatie en procedures voor de NIS2. Neem contact met ons op of download hieronder onze NIS2 brochure voor meer informatie.
NIS2, nieuwe Europese richtlijnen voor cybersecurity
Geplaatst op: 6 september 2023
Vanaf januari 2023 gelden er nieuwe Europese richtlijnen voor cybersecurity, de Network and Information Security 2 (hierna NIS2). Deze richtlijnen hebben grote gevolgen voor bedrijven en organisaties in Europa, waaronder ook het Nederlandse bedrijfsleven. De NIS2 richtlijnen zijn namelijk van toepassing op een breed scala aan sectoren, en niet alleen op de vitale sectoren zoals bij de voorganger NIS.
Het is van groot belang dat bedrijven en organisaties zich aan de NIS2 richtlijnen houden. Niet alleen om hoge boetes te voorkomen die kunnen oplopen tot 2% van de jaaromzet, maar vooral om de digitale veiligheid te waarborgen en cyberaanvallen te voorkomen. Met de NIS2 richtlijnen worden bedrijven en organisaties verplicht gesteld om hun digitale veiligheid naar een hoger niveau te tillen en zich aan te passen aan de toenemende dreigingen van cybercriminaliteit.
Op deze pagina (en uitgebreider in onze brochure onderaan deze pagina) lees je wat de NIS2 inhoudt, welke sectoren onder de richtlijnen vallen, wat de gevolgen zijn van het niet naleven van de NIS2 en hoe je je als bedrijf of organisatie kunt voorbereiden op de NIS2.
Wat is de NIS?
De NIS wetgeving is de eerste cybersecurity wetgeving in Europa en geldt sinds 2018 ook in Nederland. Het doel van de NIS is om een gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen binnen de Europese Unie te waarborgen. Dit wordt bereikt door de lidstaten te verplichten om passende beveiligingsmaatregelen vast te stellen en toe te passen, waardoor de risico’s van cyberaanvallen worden verkleind en de gevolgen daarvan worden beperkt.
De NIS richt zich op bedrijven en organisaties die actief zijn in vitale sectoren, zoals energie, transport, gezondheidszorg en financiële dienstverlening. Sectoren die van cruciaal belang zijn voor het blijven draaien van onze economie en maatschappij en daarom een hoger niveau van beveiliging nodig hebben.
Een ander doel van de NIS is om de samenwerking tussen de EU-lidstaten op het gebied van cybersecurity te versterken. De richtlijn verplicht de lidstaten om een nationale autoriteit voor netwerk- en informatiebeveiliging aan te wijzen en deze te laten samenwerken met andere Europese autoriteiten.
Kortom, het doel van de NIS-richtlijn is om de cybersecurity van de vitale sectoren in de EU te verbeteren en de samenwerking tussen de lidstaten op het gebied van cybersecurity te versterken. Maar door de toename van cyberaanvallen blijkt de NIS niet meer voldoende veiligheid te bieden. Daarom heeft de Europese Commissie in 2020 de NIS2 geïntroduceerd als nieuwe EU-beveiligingsstrategie.

Verschil tussen NIS en NIS2
Waar de NIS zich richt op grote ondernemingen in vitale sectoren, gaat de NIS2 verder. Dat betekent dat de impact van de NIS2 een grote impact zal hebben op het Nederlandse bedrijfsleven. De NIS2 is gericht op drie pijlers van beveiliging:
- Het in kaart brengen van security risico’s;
- Bescherming en detectie om risico’s te beperken;
- En het beperken van de gevolgen van cyberincidenten.
Waar bedrijven voorheen nog wegkwamen met het naleven van de AVG en andere basisregels, moeten zij met de introductie van de NIS2 alle zeilen bijzetten om te voldoen aan de nieuwe richtlijnen. Het is daarom belangrijk voor bedrijven om zich bewust te zijn van de NIS2 en zich hierop voor te bereiden om hun cybersecurity te verbeteren en zo de gevolgen van cyberaanvallen te beperken.
Hoewel de NIS-richtlijnen nog relatief jong zijn, wijst onderzoek van het EU-agentschap voor cybersecurity (ENISA) uit dat de implementatie van de NIS-richtlijn in Europa al heeft geleid tot aanzienlijke verbeteringen op het gebied van cybersecurity. Enkele feiten en cijfers uit deze studie zijn:
- 96% van de lidstaten heeft nationale wetgeving geïmplementeerd om de NIS-richtlijn om te zetten in nationale wetgeving.
- 92% van de nationale autoriteiten heeft minstens één cybersecurityincident behandeld.
- 83% van de organisaties die onder de NIS-richtlijn vallen, hebben beveiligingsmaatregelen geïmplementeerd om de cybersecurityrisico’s te verminderen.

Voor wie geldt de NIS2?
De NIS2 is bedoeld voor alle lidstaten van de Europese Unie. Alle organisaties en bedrijven die in deze lidstaten gevestigd zijn en digitale diensten aanbieden of essentiële diensten verlenen moeten zich dus aan de NIS2 gaan houden. Het gaat hierbij om een breed scala aan sectoren, waaronder energie, transport, gezondheidszorg, financiën, digitale infrastructuur en meer. In tegenstelling tot de oorspronkelijke NIS-richtlijn heeft de NIS2 een veel bredere reikwijdte en geldt deze voor een groot aantal verschillende organisaties en bedrijven waaronder:
- Aanbieders van essentiële diensten (bijvoorbeeld energie, vervoer, banken, gezondheidszorg, drinkwatervoorziening, digitale infrastructuur).
- Digitale dienstverleners (bijvoorbeeld online marktplaatsen, zoekmachines en cloud computing providers).
- Overheidsinstanties (zowel op nationaal als lokaal niveau).
De specifieke criteria voor welke organisaties en bedrijven onder de NIS2 vallen, verschillen per lidstaat. In Nederland heeft de Rijksoverheid de sectoren gedefinieerd waarop de NIS2 van toepassing is, deze zijn online te vinden. Download de brochure om de volledige lijst met sectoren te ontdekken.
Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in een van de bovenstaande sectoren en volgens de onderstaande criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit. In tegenstelling tot de CER-richtlijn, vindt bij de NIS2-richtlijn dus geen aanwijzing plaats door de ministeries.
De transitie naar NIS2
Het National Cyber Security Centrum (NSCS) heeft voor het vertalen van de CER- en NIS2-richtlijnen naar nationale wetgeving een tijdlijn opgesteld. Deze volledige tijdlijn kun je inzien in onze brochure onderaan de pagina.
Daarom OpenSight
Een specialist inschakelen is de meest verstandige keuze en bespaart veel tijd. De kennis en ervaring van een specialist zorgen voor een zorgeloos proces. Door OpenSight als partner te nemen, weet je zeker dat de kennis en ervaring er is om een zo goed mogelijk traject af te leggen.
Kennis
OpenSight houdt zich al jaren bezig met cybersecurity voor bedrijven. Ontstaan uit een interesse, ontwikkeld tot een passie en uiteindelijk gevormd tot een bedrijf met hulp biedende diensten.
Ervaring
Talloze bedrijven zijn eerder een samenwerking aangegaan met OpenSight en hebben daardoor al grote successen behaald omtrent cybersecurity. Van verbeterde bedrijfsprocessen tot certificeringen en van adviezen tot implementaties.
Documentatie
Een duidelijke en juiste documentatie is de fundering van cybersecurity. Van het plan van aanpak tot controlemomenten tot het vastleggen van calamiteiten die hebben plaatsgevonden en zijn opgelost. De meeste documentatie is zelfs noodzakelijk voor het behalen en behouden van certificeringen. Bovendien verhoogt het ook het inzicht in de voortgang en status van het managementsysteem.
Tijdsbesparing
Met compliance software en hulp van OpenSight kun je de druk op de organisatie minimaliseren wat zorgt voor een enorme tijdswinst. Denk hierbij bijvoorbeeld aan de planning van reguliere taken die automatisch gebeuren volgens de gestelde frequentie en andere automatiseringen.
Integraties
Integraties met Microsoft Teams of Slack zijn veelgevraagde opties. Hierdoor kunnen taken die voortvloeien uit het management worden verdeeld binnen de organisatie. Uit onze ervaring blijkt dat veel organisaties baat hebben bij het gebruik van dergelijke integraties en het onderhouden van bijvoorbeeld hun NIS2 managementsysteem. NIS2 is één van de frameworks die gekozen kan worden als leidraad voor monitoring. OpenSight kan voor deze waardevolle integraties zorgen.
Download de NIS2 brochure
Kortom, met de service van OpenSight kun je de NIS2 richtlijnen eenvoudig opvolgen. Je krijgt toegang tot ervaren experts, onafhankelijk advies en praktische ondersteuning bij de implementatie van beveiligingsmaatregelen en managementsystemen. Vul hieronder je gegevens in om de brochure te downloaden en ontdek hoe onze NIS2 service jouw organisatie kan helpen.
NIS2 is hier, wat nu? Dit betekent het voor jouw bedrijf
Geplaatst op: 4 mei 2023
Sinds januari 2023 zijn er nieuwe Europese richtlijnen voor cybersecurity van kracht, de Network and Information Security 2 (NIS2). Deze richtlijnen zijn van toepassing op een breed scala aan sectoren, waaronder ook het Nederlandse bedrijfsleven. Het is van groot belang dat bedrijven en organisaties zich aan deze richtlijnen houden. In deze blog lees je daarom wat de NIS2 precies inhoudt, welke sectoren onder de richtlijnen vallen en hoe organisaties zich moeten voorbereiden op de NIS2.
Wat is NIS2?
De NIS2 wetgeving is een uitbreiding van de NIS-wetgeving en heeft als doel een hoger niveau van beveiliging van netwerk- en informatiesystemen binnen de Europese Unie te waarborgen. Dit wordt bereikt door de lidstaten te verplichten om passende beveiligingsmaatregelen vast te stellen en toe te passen. Het doel? De risico’s van cyberaanvallen verkleinen en de gevolgen daarvan beperken. De NIS2 richt zich op bedrijven en organisaties die actief zijn in vitale sectoren, zoals energie, transport, gezondheidszorg en financiële dienstverlening, maar ook op andere sectoren die van cruciaal belang zijn voor het blijven draaien van onze economie en maatschappij.
Waarom is NIS2 compliance belangrijk?
Bedrijven en organisaties die onder de NIS2 vallen hebben de komende periode een belangrijke taak: NIS2 compliant zijn. Het niet naleven van de NIS2 leidt namelijk tot hoge boetes die kunnen oplopen tot wel 2% van de jaaromzet. Maar nog belangrijker is dat NIS2 compliance noodzakelijk is om de digitale veiligheid te waarborgen en cyberaanvallen te voorkomen. Met de NIS2 richtlijnen worden bedrijven en organisaties verplicht gesteld om hun digitale veiligheid naar een hoger niveau te tillen en zich aan te passen aan de toenemende dreigingen van cybercriminaliteit.

Wat als je niet tot de genoemde sectoren behoort?
Hoewel de NIS2 richtlijnen zich voornamelijk richten op bedrijven en organisaties die actief zijn in vitale sectoren, is het goed om te beseffen dat deze richtlijnen ook van invloed kunnen zijn op bedrijven die niet onder deze sectoren vallen. Bedrijven die leveren aan bedrijven die wel onder deze sectoren vallen, kunnen bijvoorbeeld ook gevraagd worden om te voldoen aan de NIS2 richtlijnen om te kunnen blijven leveren. Het is dus belangrijk voor bedrijven om te kijken naar de impact van de NIS2 richtlijnen op hun klanten en leveranciers en op tijd maatregelen te nemen om aan deze eisen te voldoen.
Hoe kun je je als bedrijf of organisatie voorbereiden op NIS2?
Als bedrijf of organisatie kun je je voorbereiden op de NIS2 door eerst te bepalen of de richtlijnen van toepassing zijn op jouw bedrijf of die van jouw klanten of partners. Op onze website plaatsten wij al eerder een blog met informatie over deze richtlijnen. Vervolgens is het belangrijk om te inventariseren welke maatregelen er nodig zijn om NIS2 compliant te worden. Hierbij kun je denken aan het in kaart brengen van security risico’s, het beperken van deze risico’s en het beperken van de gevolgen van cyberincidenten.

Nog niet NIS2 compliant? Dit zijn de gevolgen
Op dit moment is het nog niet duidelijk hoeveel Nederlandse bedrijven al volledig voldoen aan de NIS2 richtlijnen. Wél is bekend dat bedrijven die onder de verplichte sectoren vallen, NIS2 compliant móeten zijn. Dit geldt niet alleen voor grote bedrijven, maar ook voor kleine en middelgrote ondernemingen. Het is belangrijk om te realiseren dat de NIS2 richtlijnen niet vrijblijvend zijn en dat er hoge boetes staan op het niet naleven ervan. Bedrijven die de NIS2 richtlijnen niet naleven, kunnen een flinke boete verwachten.
Naast de financiële gevolgen kan het ook leiden tot reputatieschade als er door het niet naleven van de NIS2 richtlijnen een cyberaanval plaatsvindt. Het is dus niet alleen belangrijk om NIS2 compliant te zijn om boetes te voorkomen, maar ook om de digitale veiligheid te waarborgen en het vertrouwen van klanten en partners te behouden.
Zo word je NIS2 compliant
Hoewel de NIS2 al in januari is ingegaan hebben organisaties en bedrijven nog even de tijd om zich voor te bereiden op de NIS2. Volgens de planning van het Nationaal Cyber Security Centrum (NCSC) treedt de NIS2 wetgeving in 2024 pas écht in werking. In de tussentijd kunnen organisaties gebruik maken van verschillende hulpmiddelen zoals bijvoorbeeld het stappenplan voor riscoanalyse van het Digital Trust Centre. Daarnaast is het verstandig om een NIS2 compliance officer aan te stellen die verantwoordelijk is voor de implementatie en naleving van de NIS2 richtlijnen binnen het bedrijf. De NIS2 heeft namelijk grote gevolgen voor bedrijven en organisaties in Europa, waaronder ook het Nederlandse bedrijfsleven.
De meest eenvoudige oplossing voor NIS2
Wil je eenvoud én zekerheid? Kies dan voor de hulp van OpenSight. Met behulp van Cyberday gaan onze experts aan de slag met jouw cybersecurity. Cyberday biedt transparantie voor jou als bedrijf, expertise voor cybersecurity oplossingen en benodigde documentatie en logging om te voldoen aan cybersecurity standaarden zoals NIS2. En dat ook nog eens met hulp, advies en toeziend oog van cybersecurity experts van OpenSight.
Neem gerust contact met ons op voor een adviesgesprek. Wij kijken graag met je mee.
Of download de NIS2 brochure hieronder.
Is de NIS2 op jouw bedrijf van toepassing? Dit moet je regelen
Geplaatst op: 1 maart 2023
Vanaf januari ’23 moeten alle bedrijven en organisaties binnen Europa zich houden aan de nieuwe NIS2 richtlijnen. Een groot verschil met eerdere wetgeving is dat er in de NIS2 ook sancties zitten en het bestuur verantwoordelijk gehouden kan worden indien er onvoldoende is gedaan op het gebied van Cyber Security. Doordat de richtlijnen van de NIS2 voor aanzienlijk meer sectoren en branches gelden, is het belangrijk dat MKB-Nederland de zaken op orde krijgt. Hier lees je waar je als bedrijf allemaal aan moet voldoen en wat de NIS2 precies inhoudt.
Wat is NIS?
NIS is een afkorting voor Network and Information Security en is de eerste wetgeving in Europa op het gebied van cybersecurity. Sinds 2016 is de NIS ook in Nederland van kracht en deze is omgezet in Nederland in de Wet Beveiliging netwerk- en informatiesystem (WBNI). Deze richtlijn motiveert bedrijven en organisaties om hun digitale veiligheid op orde te brengen en aan te scherpen. Met de forse toename in cyberaanvallen heeft de Europese Commissie in 2020 een nieuwe EU-beveiligingsstrategie gepresenteerd: de NIS2.
Waar de NIS zich beperkt tot slechts de grote ondernemingen in vitale sectoren, zoals drinkwatervoorziening en telecom, gaat de NIS2 een stap verder. De NIS2 zal een grotere impact hebben op het Nederlandse bedrijfsleven, zonder twijfel. De volwassen variant van de NIS richt zich op drie pijlers van beveiliging:
- Het in kaart brengen van security risico’s;
- Bescherming en detectie om risico’s te beperken;
- Beperken van de gevolgen van cyberincidenten.
Met de NIS komen veel bedrijven nog weg met het naleven van de AVG en andere ‘basisregels’. Maar nu de richtlijnen van de NIS2 van kracht zijn, moeten veel bedrijven echt alle zeilen bijzetten wat betreft cybersecurity.

Vanaf januari ’23 moeten alle bedrijven en organisaties binnen Europa zich houden aan de nieuwe NIS2 richtlijnen. Een groot verschil met eerdere wetgeving is dat er in de NIS2 ook sancties zitten en het bestuur verantwoordelijk gehouden kan worden indien er onvoldoende is gedaan op het gebied van Cyber Security. Doordat de richtlijnen van de NIS2 voor aanzienlijk meer sectoren en branches gelden, is het belangrijk dat MKB-Nederland de zaken op orde krijgt. Hier lees je waar je als bedrijf allemaal aan moet voldoen en wat de NIS2 precies inhoudt.

Wil je meer weten over hoe je dit kunt aanpakken, of ben je benieuwd hoe compliant jouw organisatie op dit moment is? Onze experts staan klaar om je vragen te beantwoorden.
Of download de NIS2 brochure.