De Nederlandse wetgever is bezig met het implementeren van de NIS2-richtlijn. Indien de NIS2-richtlijn van toepassing is op jouw organisatie, brengt dat een aantal verplichtingen met zich mee. De Rijksoverheid geeft het advies om nu al je beveiliging te verbeteren, omdat jouw organisatie dan niet alleen tegen bestaande risico’s beveiligd is, maar ook beter voorbereid is op de nieuwe wet- en regelgeving. Een goede voorbereiding is dus van belang!
Benieuwd naar de inhoud van de richtlijn? Lees dan onze eerdere blog over dit onderwerp!
Welke verplichtingen gelden voor mijn organisatie?
- Een organisatie moet zich allereerst registreren als zij onder de NIS2-richtlijn valt. Hoe deze registratie moet verlopen, zal duidelijk worden wanneer de wet zijn intrede doet. Wij kunnen hiermee helpen!
- De NIS2-richtlijn bevat een zorgplicht. Organisaties moeten zelf een verplichte risicobeoordeling uitvoeren om de digitale risico’s in kaart te brengen. Aan de hand daarvan kunnen passende maatregelen genomen worden, zodat netwerk- en informatiesystemen beschermd worden.
- Bij incidenten hebben organisaties een meldplicht. Op het moment dat een incident zich voordoet waarbij de verlening van de essentiële dienst van de organisatie aanzienlijk verstoord (kunnen) worden, moet de betreffende organisatie binnen 24 uur een melding doen bij de toezichthouder. Let op! Gaat het om een cyberincident, dan moet dit ook gemeld worden bij het Computer Security Incident Response Team (CSIRT).
- Organisaties komen onder toezicht te staan. Een onafhankelijke toezichthouder ziet toe op de naleving van de verplichtingen uit de NIS2-richtlijn. Op dit moment wordt bepaald welke sectoren onder welke toezichthouder zullen vallen. Hierbij is het van belang of jouw organisatie een essentiële entiteit of een belangrijke entiteit is. Voor essentiële entiteiten geldt een strenger bewind van toezicht. Voor meer informatie hierover, lees onze eerste blog over de NIS2-richtlijn.
Wat kun je als organisatie alvast doen om je voor te bereiden?
Controleer allereerst of je al voldoet aan de bestaande kaders voor netwerk- en informatiebeveiliging bij de overheid door het maken van een risicoanalyse en risicobeoordeling. Dit kan aan de hand van de volgende punten:
1. De digitale risico’s die relevant zijn vanwege de mogelijke verstoring van de organisatie
Denk bijvoorbeeld aan geautomatiseerde systemen waar jouw organisatie gebruik van maakt. Een potentieel risico zou dan een cyberaanval kunnen zijn.
2. De te beschermen belangen van de organisatie
Als jouw bedrijf een dienstverlenend bedrijf is dat met klantgegevens werkt, omvatten de te beschermen belangen bijvoorbeeld het handhaven van klantvertrouwen, het beschermen van klantgegevens en het voorkomen van onderbrekingen in de dienstverlening.
3. Welke maatregelen al genomen zijn om de belangen tegen de risico’s te beschermen
Dit kan bijvoorbeeld bestaan uit het regelmatig bijwerken van software en het implementeren van een sterke authenticatie voor klanten en medewerkers.
Neem zo nodig maatregelen om de organisatie beter te beschermen tegen deze risico’s. Zo ben je alvast goed op weg om de zorgplicht uit de NIS2-richtlijn te vervullen, de bestaande kaders zoals de basismaatregelen van het National Cyber Security Centrum (NCSC) en de basisprincipes van het Digital Trust Center zullen namelijk de basis hiervan zijn. Het is dus belangrijk om alvast aan de huidige verplichtingen te voldoen. Een paar voorbeelden van maatregelen zijn:
- Het opstellen van crisisbeheersingsprotocollen en bedrijfscontinuïteitplannen;
- Het vergroten van bewustwording van de risico’s en veiligheidsmaatregelen onder het personeel;
- Het identificeren van alternatieve toeleveranciers, zodat de continuïteit van de dienstverlening niet verstoord wordt bij het eventueel uitvallen van een toeleverancier.
Zorg er verder voor dat er in jouw organisatie procedures zijn waarmee incidenten gedetecteerd, gemonitord, opgelost en gemeld kunnen worden bij de Rijksinspectie Digitale Infrastructuur (RDI) en bij een Computer Security Incident Response Team (CSIRT).
Onlangs heeft de Rijksoverheid de NIS2-Quickscan geïntroduceerd. Dit is een hulpmiddel voor organisaties om zich voor te bereiden op de komst van de NIS2-richtlijn. Door het beantwoorden van 40 vragen krijg je als organisatie meer inzicht in de status van je cyberveiligheid. Per thema krijg je een score te zien. Ook worden er per thema verschillende technische en organisatorische maatregelen geplaatst die je kan gebruiken. De Quickscan is te vinden op de website van het National Cyber Security Centrum.
Meer weten of hulp nodig?
Omdat het wetsvoorstel nog niet in werking is getreden, is nog niet alles van de NIS2-richtlijn duidelijk. Wij houden de ontwikkelingen omtrent de NIS2-richtlijn nauwlettend in de gaten en kunnen helpen bij het toepassen van de verplichtingen in jouw organisatie. Neem contact met ons op via info@privacycoaches.nl of neem een kijkje op onze website!