Plichten NIS2

    1. Home  - 
    2. Plichten NIS2

    Wat is de NIS2?

    De Network and Information Security directive, of NIS2-richtlijn, is bedoeld om de cyberbeveiliging en de weerbaarheid van essentiële en belangrijkse diensten in EU-lidstaten te verbeteren. Deze richtlijn wordt momenteel in nationale wetgeving omgezet en zal ergens in 2025 in werking treden en zal gelden voor overheden en minimaal 30.000 bedrijven.

    Table of Contents

    Zorgplicht

    De zorgplicht vereist dat uw organisatie een aantal maatregelen op orde heeft. Een overzicht van de te nemen maatregelen ziet u hieronder, samen met een korte beschrijving hiervan.

    Risicomanagement

    Het is verplicht om zelf een risicobeoordeling te doen. Op basis daarvan neemt u passende maatregelen om uw diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.

    Incident- en datalekmanagement

    Hieronder vallen protocollen en procedures die gevolgd moeten worden bij het managen van datalekken en incidenten. Het is  van belang procedures te ontwikkelen voor het detecteren, monitoren, oplossen en melden van incidenten. Zo kunt u snel en adequaat reageren wanneer uw organisatie wordt getroffen. NIS2-entiteiten zijn verplicht om incidenten te melden bij het centrale meldpunt en de toezichthouder. De eisen van de meldplicht moeten in de bedrijfsprocessen verankerd worden. Het opstellen van een incidentresponseplan kan hierbij helpen. 

    Bedrijfscontinuiteit

    Bedrijfscontinuïteit verwijst naar de mogelijkheid van een organisatie om haar essentiële functies en kernactiviteiten voort te zetten, zelfs in het geval van onverwachte en ernstige verstoringen of noodsituaties. Deze verstoringen kunnen variëren van natuurrampen en stroomuitval tot cyberaanvallen, zoals Distributed Denial of Service (DDoS) -aanvallen. Een verstoring kan leiden tot reputatieschade, downtime en verlies van inkomsten, extra kosten en hersteltijd, juridische en regelgevende gevolgen.

    Supply Chain Management

    Om de toeleveringsketen NIS2-proof te maken, dient u de zwakke plekken van uw leverancier of dienstverlener in te schatten. Hierbij kunt u denken aan bijvoorbeeld:

    1. Specifieke zwakke plekken van elke directe leverancier en dienstverlener.
    2. Kwaliteit van de producten en de cyberbeveiligingsgewoonten van hun leveranciers en dienstverleners.
    3. Veilige procedures voor de ontwikkeling van producten en diensten.

    Meten van effectiviteit van beleid

    Om het effect te meten, moeten de security maatregelen getoetst en geëvalueerd worden. Om dit gestructureerd en systematisch te laten plaatsvinden, moet de toetsing in het beleid van de organisatie worden opgenomen. Eén van de manieren om de effectiviteit van maatregelen te toetsen is via een securitytest of een audit.

    Cybersecurity awareness en trainingen

    NIS2 en security awareness zijn nauw met elkaar verbonden omdat NIS2 niet alleen gericht is op technische maatregelen, maar ook op het bevorderen van een bewustzijnscultuur binnen organisaties. Het benadrukt de essentie van bewustwording en training van medewerkers. Daarbij omvat security awareness niet alleen het begrijpen van potentiële dreigingen en het herkennen van verdachte activiteiten, maar ook het correct handelen bij mogelijke cyberaanvallen. NIS2 legt daarom nadruk op de verplichting voor organisaties om niet alleen te investeren in technologische beveiliging van systemen, maar ook in het opleiden en informeren van personeel over risico’s en ‘best practices’ op het gebied van cybersecurity.

    Beleid en procedures met betrekking tot cryptografie

    Er zijn regels gedefinieerd en geïmplementeerd voor het doeltreffende gebruik van cryptografie en voor het beheer van cryptografische sleutels.

    Het doel van beleid en procedures voor cryptografie en encryptie is dat de vertrouwelijkheid, integriteit, onweerlegbaarheid, authenticiteit en authenticatie van data gewaarborgd wordt. In een beleidsdocument inzake cryptografie beschrijft u het beleid en de technieken die u ingezet heeft om de vertrouwelijkheid en integriteit van informatie te waarborgen. Onderdelen om mee te nemen in het beleidsdocument zijn configuratie- en sleutelmanagement, effectiviteit en beheer.

    Autorisatiebeheer

    Om grip te houden op de beschikbaarheid, integriteit en vertrouwelijkheid van uw netwerk en informatiesystemen, is het van belang om een goed toegangsbeleid in te richten. In een toegangsbeleid bepaalt u wie toegang heeft tot welke systemen en met welke rollen en rechten. Omdat elke organisatie te maken heeft met nieuwe medewerkers, vertrekkende medewerkers of functiewisselingen, is een zorgvuldige administratie van toegangsrechten hard nodig.

    Multifactor authenticatie en andere veilige inlog- of communicatiemethodieken

    Voor veilige bedrijfsprocessen is het nodig dat gebruikers, apparaten en andere activa worden geauthentiseerd door middel van meerdere authenticatiefactoren of continue authenticatiemechanismen om toegang te krijgen tot de netwerken en informatiesystemen van de organisatie. De mate en sterkte van de authenticatie moet geschikt zijn voor de classificatie van de activa waartoe toegang moet worden verkregen. Welke toegang hoog geclassificeerd is, heeft u geïnventariseerd in de risicoanalyse of de bedrijfsimpactanalyse (BIA).

    Het gebruik van extra authenticatie voorkomt dat een aanvaller toegang tot een account verkrijgt door het wachtwoord te raden of te achterhalen via bijvoorbeeld social engineering of een geslaagd phishingaanval.

    Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk (plus respons op en bekendmaking van kwetsbaarheden)

    In de NIS2-richtlijn staat dat een organisatie beleid over de beveiliging van het verwerven, ontwikkelen en onderhouden van het netwerk moet hebben. Daarnaast moet de organisatie ook beleid hebben over hoe het met kwetsbaarheden omgaat.

    Beleid over de beveiliging van netwerk- en informatiesystemen gaat over een groot aantal onderwerpen, zoals netwerkbeveiligiging, configuratie-, change-, vulnerability management, secure development life cycle en inkoopbeleid. Na het opstellen en vaststellen van een beleid voor de beveiliging van de netwerk- en informatiesystemen van uw organisatie, kunt u het netwerk in kaart brengen. Alleen als u het netwerk kent en begrijpt, kunt u de juiste afwegingen maken om de digitale weerbaarheid van deze systemen te verbeteren.

    Human resources beveiligingsaspecten (rechtenbeheer)

    Organisaties die belang hechten aan hun cyberbeveiliging, hebben aandacht voor beveiligingsaspecten van personeel, toegangsbeleid en het beheer van assets (hardware en software). Wie heeft toegang tot wat en met welke rechten? Door deze beveiligingsaspecten serieus te nemen en passende maatregelen te implementeren, verbetert u de cyberbeveiliging in deze eerste linie en vergroot u de veerkracht van de netwerk- en informatiesystemen.

    Personeel, toegangsbeleid en beheer van assets

    In de zorgplicht vanuit de NIS2-richtlijn worden maatregelen verlangd op 3 onderdelen: beveiligingsaspecten van personeel, toegangsbeleid en beheer van assets.

    Registratieplicht

    Entiteiten die vallen onder de NIS2-richtlijn zijn verplicht zich te registreren. Deze registratie moet zorgen voor een Europees breed beeld van het aantal entiteiten onder de NIS2.

    Meldplicht

    De richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp- en bijstand levert. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.

    Toezicht

    Organisaties die onder de richtlijn vallen komen ook onder toezicht te staan. Hierbij wordt er gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht.