nieuws IT
2 minuten lezen

Klaar voor NIS-2? Til je informatiebeveiliging naar een hoger niveau

Dankzij het alsmaar groeiende belang van cybersecurity heeft de Europese Commissie recent maatregelen getroffen in de vorm van nieuwe wet- en regelgeving: Digital Operational Resilience Act (DORA) en de Network and Information Security 2 Directive (NIS-2). In deze blog lees je wat deze directives inhouden, op welke organisaties ze van toepassing zijn en welke stappen je moet ondernemen.

Cybersecurity en cyberrisico’s zijn hot en vragen continu je aandacht. Doorlopend bereiken berichten de media dat er nieuwe hacks plaatsvinden, dat ondernemers worden geconfronteerd met ransomware aanvallen of dat bedrijven onbereikbaar zijn als gevolg van een DDoS aanval. De Europese Commissie heeft al geruime tijd aandacht voor cybersecurity, maar de toenemende onrust vraagt om nieuwe maatregelen. Dit doen ze in de vorm van DORA en de NIS-2. 

Wat houdt DORA in?

DORA is een directive die specifiek is gericht op het versterken van cybersecurity beheersing in de financiële sector (met name financiële organisaties die onder toezicht staan). Het doel van DORA is om de stabiliteit en integriteit van financiële markten van de Europese Unie te waarborgen alsook beleggers en consumenten te beschermen.

Wat houdt NIS-2 in?

De NIS-2 directive is een herziening van de eerdere Netwerk en informatiebeveiligingsrichtlijn en de komst hiervan moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. NIS-2 geldt voor meer en andere bedrijven dan DORA. NIS-2 is van toepassing op een groot aantal sectoren, namelijk (niet limitatief): Energie, Transport, Bankwezen, (Digitale) Infrastructuur, Afvalwater, Beheer van ICT-diensten, Levensmiddelen en Vervaardiging/Manufacturing. Micro en kleine bedrijven vallen (nog) niet onder NIS-2, tenzij de minister hen op basis van een risicobeoordeling daartoe aanwijst, of wanneer zij in specifieke sectoren actief zijn.

NIS-2 maakt hierbij een onderscheid tussen essentiële en belangrijke sectoren, hetgeen samenhangt met sectoren waarin ze actief zijn alsook de omvang die hieraan gekoppeld is. Essentiële sectoren vallen onder een intensiever toezicht (vooraf en achteraf) dan belangrijke sectoren (alleen toezicht achteraf).

Benieuwd naar hoe wij jouw IT-structuur op orde kunnen brengen?

Lees meer over onze IT-dienstverlening

NIS-2: welke verplichtingen heb je?

Als een onderneming onder NIS-2 valt dan kent dit een aantal verplichtingen:
  1. Zorgplicht: ondernemingen moeten zelf een risicoanalyse uitvoeren. Op basis daarvan moeten zij zorgen voor passende (technische én organisatorische) beveiligingsmaatregelen. Dit met als doel de vertrouwelijkheid en continuïteit van de gegevensverwerking zo veel als mogelijk te waarborgen.
  2. Meldplicht: incidenten die de verlening van een essentiële dienst aanzienlijk kunnen verstoren, moeten binnen 24 uur gemeld worden bij de toezichthouder. Cyberincidenten moeten aanvullend ook gemeld worden bij het Computer Security Incident Response Team (CSIRT). 
  3. Toezicht: zoals hierboven beschreven, is er sprake van toezicht en de naleving van verplichtingen die voortvloeien uit zorgplicht en meldplicht.

NIS-2: Waar begin je?

Op dit moment zijn een aantal uitwerkingen van NIS-2 nog onderhanden, denk aan het toezichtsregime en het vertalen van de NIS-2 directive naar Nederlandse wetgeving. Desalniettemin is het verstandig om nu al na te denken over de komst van NIS-2 en de effecten ervan. Ook als je (nog) niet onder NIS-2 valt is het altijd verstandig om na te denken over deze IT- en cyberrisico’s alsmede de getroffen (of nog te treffen) maatregelen. 

Ongeacht de situatie kunnen wij als IT-audit team van HLB Witlox Van den Boomen je hierbij ondersteunen. Wij beschikken over ruime ervaring als het gaat om het uitvoeren van risicoanalyses en het daarbij beoordelen of beveiligingsmaatregelen aanwezig zijn. En wat de eventuele tekortkomingen zijn. Wij kunnen je adviseren en aangeven welke maatregelen ontbreken of aangescherpt moeten worden. 

Meer weten over de ondersteuning die wij je kunnen bieden? Neem vrijblijvend contact op via +31 881 948 075 of roel.ronken@hlb-wvdb.nl.

triangle dark triangle light