In deze blog geven we belangrijke praktische handvatten voor de implementatie van de NIS2 richtlijn. Deze richtlijn introduceert aangescherpte eisen op het gebied van cybersecurity voor een breed scala aan sectoren en bedrijven binnen de EU. Dit vereist een kritische beoordeling en aanpassing van de huidige beveiligingspraktijken en het managementbeleid van organisaties. Alhoewel de Nederlandse uitwerking van de NIS2 er nog niet is en de datum van inwerkingtreding ook nog niet bekend is, kun je al wel voorbereidingen treffen.
Impact on management
Een cruciaal element van NIS2 is de impact op het managementniveau van organisaties. De richtlijn vereist dat leidinggevenden actief betrokken zijn bij cybersecurity en de verantwoordelijkheid nemen voor de beveiliging van hun informatiesystemen. Dit omvat het zorgen voor voldoende middelen en het implementeren van een managementsysteem voor informatiebeveiliging (ISMS).Understanding the chain
De NIS2 benadrukt het belang van inzicht in de toeleveringsketen, waarbij organisaties verantwoordelijk worden gehouden voor de beveiliging van hun hele keten, inclusief leveranciers en partners. Hackers die zich richten op grote bedrijven vallen vaak eerst kleine bedrijven aan die in connectie staan met die grote bedrijven. Zo wordt de keten ondermijnd en worden grote én kleine bedrijven geraakt.Duty of Care, Duty to Report and Supervision
De zorgplicht onder NIS2 houdt in dat organisaties passende technische en organisatorische maatregelen moeten nemen om de risico’s voor hun netwerk- en informatiesystemen te beheren. Dit vereist een continue risicoanalyse en het nemen van preventieve maatregelen. De meldplicht verplicht organisaties om ernstige incidenten binnen 24 uur te melden aan de relevante nationale autoriteiten. Toezicht op naleving van de verplichtingen onder NIS2 wordt versterkt, met de mogelijkheid van audits en inspecties door toezichthouders.Become demonstrably compliant
Om aantoonbaar compliant te worden met NIS2, adviseren we organisaties een ISMS te implementeren, gebaseerd op erkende standaarden zoals de ISO 27001 of de NEN 7510 deel 1. Het implementeren van een ISMS biedt een gestructureerd en cyclisch kader voor het beheren van deze risico’s en het aantonen van compliance. Een effectief ISMS omvat beleid, procedures en een juiste organisatorische inbedding van maatregelen en controles. Dit systeem moet regelmatig worden geaudit om naleving te verzekeren. Het uitvoeren van een gap-analyse om te bepalen waar de organisatie staat ten opzichte van de NIS2-eisen is een essentiële eerste stap. Daarna dienen plannen te worden ontwikkeld en uitgevoerd om eventuele tekortkomingen in de beheersmaatregelen aan te pakken.Requirements for management measures
De beheersmaatregelen die onder NIS2 vereist zijn, moeten gebaseerd zijn op een risicobeoordeling en moeten de beschikbaarheid, integriteit, en vertrouwelijkheid (BIV) van gegevens beschermen. Om effectief en efficiënt te werken adviseren we om vooral gebruik te maken van de standaarden met beheersmaatregelen zoals onder andere de ISO 27002, NEN 7510 deel 2 of de Baseline Informatiebeveiliging Overheid (BIO). Organisaties moeten hun bestaande cybersecuritypraktijken heroverwegen en aanpassen om aan de nieuwe vereisten te voldoen. Dit omvat bijvoorbeeld het uitvoeren van risicobeoordelingen, het updaten van incidentresponsplannen en het waarborgen van de continuïteit van kritieke diensten. Het Perium platform biedt organisaties een vliegende start, beginnend met een gap-analyse om de huidige staat van de cybersecuritymaatregelen te beoordelen en te identificeren waar verbeteringen nodig zijn.The importance of understanding the overlap between NIS2 and other standards
Organisaties die al voldoen aan ISO 27001/2, NEN 7510, of de BIO, zullen merken dat er grote overlap is met de eisen van NIS2. Het is belangrijk deze overlap inzichtelijk te hebben en te benutten om dubbel werk te voorkomen. In het Perium platform is deze overlap al in kaart gebracht voor een vliegende start.Key measures explained
In de NIS2 worden onderstaande onderwerpen genoemd waar organisaties passende maatregelen voor moeten implementeren:- Risicomanagement Breng je digitale risico’s in kaart en beoordeel deze regelmatig. Met de risicobeoordelingen kun je onderbouwde beslissingen nemen op welke beheersmaatregelen je in gaat zetten.
- Bedrijfscontinuïteit Op basis van je risicobeoordeling en eisen voor continuïteit maak je een continuïteitsplan en test je deze regelmatig.
- Veiligheid in de keten Beoordeel de veiligheid van je ketenpartners om potentiële risico’s van externe leveranciers en dienstverleners te identificeren. Neem passende maatregelen om je bedrijfscontinuïteit te garanderen.
- Beveiliging van netwerk- en informatiesystemen Ga aan de slag met een uitgebreide aanpak voor de beveiliging van netwerk- en informatiesystemen, waarbij systemen goed zijn ingericht en er een doeltreffend beleid is voor het identificeren en omgaan met kwetsbaarheden.
- Cyberveiligheidsbeleid Zorg voor een duidelijk informatiebeveiligingsbeleid en dat de medewerkers hiervan op de hoogte zijn en deze wordt nageleefd.
- Effectiviteit cybersecurity maatregelen Beoordeel regelmatig de effectiviteit van je beheersmaatregelen waardoor je passende verbeteringen kunt doorvoeren.
- Cryptografie en encryptie implementatie Zorg voor goed beveiligde en correct versleutelde verbindingen.
- Fysieke beveiliging Implementeer maatregelen voor fysieke beveiliging, inclusief beleid met betrekking tot personeel, toegangscontrole en activabeheer.
- Multifactor authenticatie Zet multifactor authenticatie (MFA) in voor relevante accounts, inclusief die vanaf het internet toegankelijk zijn en beheerrechten hebben van essentiële systemen. Zo kun je je organisatie optimaal beschermen tegen cybercriminelen.
Proactive penalty policy
NIS2 gaat flink veel impact hebben. Het niet naleven ervan betekent namelijk een risico op een forse boete omdat men streng gaat handhaven via proactieve en regelmatige controles. Dus niet na meldingen of incidenten maar vooraf. Het belang is immers groot. Onder andere onze kerncentrales, watervoorziening en ziekenhuizen moeten veilig blijven. Iedereen die daaraan levert moet meewerken – en dus ook alle bedrijven in die keten.Conclusion
Voor organisaties betekent de NIS2 dat ze hun aanpak van informatiebeveiliging moeten uitbreiden, met een sterke focus op managementverantwoordelijkheid, risicomanagement, keteninzicht, en aantoonbaar werken met bewezen standaarden. Met het Perium platform kun je snel de juiste voorbereidingen treffen omdat de NIS2 en de bewezen standaarden, inclusief inzicht in de overlap, al beschikbaar zijn. Daarnaast beschik je met Perium over een betrouwbaar ISMS, inclusief risicomanagement, met templates en een robuuste geautomatiseerde regiefunctie (PDCA). Op die manier zorg je ervoor dat de juiste acties door de juiste mensen op het juiste moment worden opgepakt.Start today
Is jouw organisatie klaar voor de toekomst? Verlies geen klanten, wacht niet langer en ontdek hoe Perium en het NIS2 Quality Mark jouw organisatie kan helpen.
Samen zorgen we ervoor dat jouw organisatie niet alleen voldoet aan de NIS2, maar ook sterker, veiliger en toekomstbestendig wordt.
Ownership is important, but how do you set it up?
June 16, 2025
3 Comments
In deze nieuwe blog nemen we je graag mee in het belang van eigenaarschap in moderne organisaties, onze visie op eigenaarschap en hoe het Perium
Risk management, where to start?
April 23, 2023
No Comments
Risk management is an increasingly important part of business operations. Not only to manage risks but also to see and capitalize on opportunities. There
European legislation: the NIS2 Directive, and now what?
June 29, 2023
No Comments
The NIS2 directive in force: now what? In October 2022, the European Union issued the new Network and Information Systems Security Directive (NIS2)