{"id":398,"date":"2024-03-25T12:50:24","date_gmt":"2024-03-25T12:50:24","guid":{"rendered":"http:\/\/nis2.management\/?page_id=398"},"modified":"2024-06-14T15:01:47","modified_gmt":"2024-06-14T13:01:47","slug":"plichten-nis2","status":"publish","type":"page","link":"https:\/\/nis2.management\/en\/plichten-nis2\/","title":{"rendered":"Obligations NIS2"},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-page\" data-elementor-id=\"398\" class=\"elementor elementor-398\" data-elementor-post-type=\"page\">\n\t\t\t\t<div class=\"elementor-element elementor-element-dd980cd e-flex e-con-boxed e-con e-parent\" data-id=\"dd980cd\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t\t\t<div class=\"elementor-element elementor-element-b8cfc7a elementor-widget elementor-widget-text-editor\" data-id=\"b8cfc7a\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<h1>Wat is de NIS2?<\/h1><p><span class=\"intro\">De Network and Information Security directive, of NIS2-richtlijn, is bedoeld om de cyberbeveiliging en de weerbaarheid van essenti\u00eble en belangrijkse diensten in EU-lidstaten te verbeteren. Deze richtlijn wordt momenteel in nationale wetgeving omgezet en zal ergens in 2025 in werking treden en zal gelden voor overheden en minimaal 30.000 bedrijven. <\/span><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t<div class=\"elementor-element elementor-element-4bc858b e-flex e-con-boxed e-con e-parent\" data-id=\"4bc858b\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t<main class=\"elementor-element elementor-element-bbddc47 e-flex e-con-boxed e-con e-parent\" data-id=\"bbddc47\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t<div class=\"elementor-element elementor-element-47bb46b e-con-full e-flex e-con e-child\" data-id=\"47bb46b\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t<div class=\"elementor-element elementor-element-4a6daf4 elementor-toc--content-ellipsis elementor-widget elementor-widget-table-of-contents\" data-id=\"4a6daf4\" data-element_type=\"widget\" data-e-type=\"widget\" data-settings=\"{&quot;exclude_headings_by_selector&quot;:[],&quot;headings_by_tags&quot;:[&quot;h1&quot;,&quot;h2&quot;,&quot;h3&quot;,&quot;h4&quot;,&quot;h5&quot;,&quot;h6&quot;],&quot;marker_view&quot;:&quot;bullets&quot;,&quot;container&quot;:&quot;main&quot;,&quot;icon&quot;:{&quot;value&quot;:&quot;fas fa-circle&quot;,&quot;library&quot;:&quot;fa-solid&quot;,&quot;rendered_tag&quot;:&quot;&lt;svg class=\\&quot;e-font-icon-svg e-fas-circle\\&quot; viewBox=\\&quot;0 0 512 512\\&quot; xmlns=\\&quot;http:\\\/\\\/www.w3.org\\\/2000\\\/svg\\&quot;&gt;&lt;path d=\\&quot;M256 8C119 8 8 119 8 256s111 248 248 248 248-111 248-248S393 8 256 8z\\&quot;&gt;&lt;\\\/path&gt;&lt;\\\/svg&gt;&quot;},&quot;no_headings_message&quot;:&quot;No headings were found on this page.&quot;,&quot;hierarchical_view&quot;:&quot;yes&quot;,&quot;min_height&quot;:{&quot;unit&quot;:&quot;px&quot;,&quot;size&quot;:&quot;&quot;,&quot;sizes&quot;:[]},&quot;min_height_tablet&quot;:{&quot;unit&quot;:&quot;px&quot;,&quot;size&quot;:&quot;&quot;,&quot;sizes&quot;:[]},&quot;min_height_mobile&quot;:{&quot;unit&quot;:&quot;px&quot;,&quot;size&quot;:&quot;&quot;,&quot;sizes&quot;:[]}}\" data-widget_type=\"table-of-contents.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<div class=\"elementor-toc__header\">\n\t\t\t\t\t\t<h4 class=\"elementor-toc__header-title\">\n\t\t\t\tTable of Contents\t\t\t<\/h4>\n\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<div id=\"elementor-toc__4a6daf4\" class=\"elementor-toc__body\">\n\t\t\t<div class=\"elementor-toc__spinner-container\">\n\t\t\t\t<svg class=\"elementor-toc__spinner eicon-animation-spin e-font-icon-svg e-eicon-loading\" aria-hidden=\"true\" viewBox=\"0 0 1000 1000\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\"><path d=\"M500 975V858C696 858 858 696 858 500S696 142 500 142 142 304 142 500H25C25 237 238 25 500 25S975 237 975 500 763 975 500 975Z\"><\/path><\/svg>\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t<main class=\"elementor-element elementor-element-c53c63f e-con-full e-flex e-con e-child\" data-id=\"c53c63f\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t<div class=\"elementor-element elementor-element-2c95c2b elementor-widget elementor-widget-text-editor\" data-id=\"2c95c2b\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<h1>Zorgplicht<\/h1><p>De zorgplicht vereist dat uw organisatie een aantal maatregelen op orde heeft. Een overzicht van de te nemen maatregelen ziet u hieronder, samen met een korte beschrijving hiervan.<\/p><h2>Risicomanagement<\/h2><p>Het is verplicht om zelf een risicobeoordeling te doen. Op basis daarvan neemt u passende maatregelen om uw diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.<\/p><h2>Incident- en datalekmanagement<\/h2><p>Hieronder vallen protocollen en procedures die gevolgd moeten worden bij het managen van datalekken en incidenten. Het is\u00a0 van belang procedures te ontwikkelen voor het detecteren, monitoren, oplossen en melden van incidenten. Zo kunt u snel en adequaat reageren wanneer uw organisatie wordt getroffen. NIS2-entiteiten zijn verplicht om incidenten te melden bij het centrale meldpunt en de toezichthouder. De eisen van de meldplicht moeten in de bedrijfsprocessen verankerd worden. Het opstellen van een incidentresponseplan kan hierbij helpen.\u00a0<\/p><h2>Bedrijfscontinuiteit<\/h2><p>Bedrijfscontinu\u00efteit verwijst naar de mogelijkheid van een organisatie om haar essenti\u00eble functies en kernactiviteiten voort te zetten, zelfs in het geval van onverwachte en ernstige verstoringen of noodsituaties. Deze verstoringen kunnen vari\u00ebren van natuurrampen en stroomuitval tot cyberaanvallen, zoals Distributed Denial of Service (DDoS) -aanvallen. Een verstoring kan leiden tot reputatieschade, downtime en verlies van inkomsten, extra kosten en hersteltijd, juridische en regelgevende gevolgen.<\/p><h2>Supply Chain Management<\/h2><p>Om de toeleveringsketen NIS2-proof te maken, dient u de zwakke plekken van uw leverancier of dienstverlener in te schatten. Hierbij kunt u denken aan bijvoorbeeld:<\/p><ol><li>Specifieke zwakke plekken van elke directe leverancier en dienstverlener.<\/li><li>Kwaliteit van de producten en de cyberbeveiligingsgewoonten van hun leveranciers en\u00a0dienstverleners.<\/li><li>Veilige procedures voor de ontwikkeling van producten en diensten.<\/li><\/ol><h2>Meten van effectiviteit van beleid<\/h2><p>Om het effect te meten, moeten de security maatregelen getoetst en ge\u00ebvalueerd worden. Om dit gestructureerd en systematisch te laten plaatsvinden, moet de toetsing in het beleid van de organisatie worden opgenomen. E\u00e9n van de manieren om de effectiviteit van maatregelen te toetsen is via een securitytest of een audit.<\/p><h2>Cybersecurity awareness en trainingen<\/h2><p>NIS2 en security awareness zijn nauw met elkaar verbonden omdat NIS2 niet alleen gericht is op technische maatregelen, maar ook op het bevorderen van een bewustzijnscultuur binnen organisaties. Het benadrukt de essentie van bewustwording en training van medewerkers. Daarbij omvat security awareness niet alleen het begrijpen van potenti\u00eble dreigingen en het herkennen van verdachte activiteiten, maar ook het correct handelen bij mogelijke cyberaanvallen. NIS2 legt daarom nadruk op de verplichting voor organisaties om niet alleen te investeren in technologische beveiliging van systemen, maar ook in het opleiden en informeren van personeel over risico\u2019s en \u2018best practices\u2019 op het gebied van cybersecurity.<\/p><h2>Beleid en procedures met betrekking tot cryptografie<\/h2><p>Er zijn regels gedefinieerd en ge\u00efmplementeerd voor het doeltreffende gebruik van cryptografie en voor het beheer van cryptografische sleutels.<\/p><p>Het doel van beleid en procedures voor cryptografie en encryptie is dat de vertrouwelijkheid, integriteit, onweerlegbaarheid, authenticiteit en authenticatie van data gewaarborgd wordt. In een beleidsdocument inzake cryptografie beschrijft u het beleid en de technieken die u ingezet heeft om de vertrouwelijkheid en integriteit van informatie te waarborgen. Onderdelen om mee te nemen in het beleidsdocument zijn configuratie- en sleutelmanagement, effectiviteit en beheer.<\/p><h2>Autorisatiebeheer<\/h2><p>Om grip te houden op de beschikbaarheid, integriteit en vertrouwelijkheid van uw netwerk en informatiesystemen, is het van belang om een goed toegangsbeleid in te richten. In een toegangsbeleid bepaalt u wie toegang heeft tot welke systemen en met welke rollen en rechten. Omdat elke organisatie te maken heeft met nieuwe medewerkers, vertrekkende medewerkers of functiewisselingen, is een zorgvuldige administratie van toegangsrechten hard nodig.<\/p><h2>Multifactor authenticatie en andere veilige inlog- of communicatiemethodieken<\/h2><p>Voor veilige bedrijfsprocessen is het nodig dat gebruikers, apparaten en andere activa worden geauthentiseerd door middel van meerdere authenticatiefactoren of continue authenticatiemechanismen om toegang te krijgen tot de netwerken en informatiesystemen van de organisatie. De mate en sterkte van de authenticatie moet geschikt zijn voor de classificatie van de activa waartoe toegang moet worden verkregen. Welke toegang hoog geclassificeerd is, heeft u ge\u00efnventariseerd in de risicoanalyse of de bedrijfsimpactanalyse (BIA).<\/p><p>Het gebruik van extra authenticatie voorkomt dat een aanvaller toegang tot een account verkrijgt door het wachtwoord te raden of te achterhalen via bijvoorbeeld social engineering of een geslaagd phishingaanval.<\/p><h2><span class=\"fontstyle0\">Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk (plus respons op en bekendmaking van kwetsbaarheden)<\/span><\/h2><p>In de NIS2-richtlijn staat dat een organisatie beleid over de beveiliging van het verwerven, ontwikkelen en onderhouden van het netwerk moet hebben. Daarnaast moet de organisatie ook beleid hebben over hoe het met kwetsbaarheden omgaat.<\/p><p>Beleid over de beveiliging van netwerk- en informatiesystemen gaat over een groot aantal onderwerpen, zoals netwerkbeveiligiging, configuratie-, change-, vulnerability management, secure development life cycle en inkoopbeleid. Na het opstellen en vaststellen van een beleid voor de beveiliging van de netwerk- en informatiesystemen van uw organisatie, kunt u het netwerk in kaart brengen. Alleen als u het netwerk kent en begrijpt, kunt u de juiste afwegingen maken om de digitale weerbaarheid van deze systemen te verbeteren.<\/p><h2><span class=\"fontstyle0\">Human resources beveiligingsaspecten (rechtenbeheer)<\/span><\/h2><p>Organisaties die belang hechten aan hun cyberbeveiliging, hebben aandacht voor beveiligingsaspecten van personeel, toegangsbeleid en het beheer van assets (hardware en software). Wie heeft toegang tot wat en met welke rechten? Door deze beveiligingsaspecten serieus te nemen en passende maatregelen te implementeren, verbetert u de cyberbeveiliging in deze eerste linie en vergroot u de veerkracht van de netwerk- en informatiesystemen.<\/p><h2>Personeel, toegangsbeleid en beheer van assets<\/h2><p>In de zorgplicht vanuit de NIS2-richtlijn worden maatregelen verlangd op 3 onderdelen: beveiligingsaspecten van personeel, toegangsbeleid en beheer van assets.<\/p><h1>Registratieplicht<\/h1><p>Entiteiten die vallen onder de NIS2-richtlijn zijn verplicht zich te registreren. Deze registratie moet zorgen voor een Europees breed beeld van het aantal entiteiten onder de NIS2.<\/p><h1>Meldplicht<\/h1><p>De richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essenti\u00eble dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp- en bijstand levert. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financi\u00eble verliezen.<\/p><h1>Toezicht<\/h1><p>Organisaties die onder de richtlijn vallen komen ook onder toezicht te staan. Hierbij wordt er gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/main>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/main>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>Wat is de NIS2? De Network and Information Security directive, of NIS2-richtlijn, is bedoeld om de cyberbeveiliging en de weerbaarheid van essenti\u00eble en belangrijkse diensten in EU-lidstaten te verbeteren. Deze<\/p>\n<p><a href=\"https:\/\/nis2.management\/en\/plichten-nis2\/\" class=\"av-btn av-btn-secondary av-btn-bubble\">Read more<span class=\"screen-reader-text\">Obligations NIS2<\/span><i class=\"fa fa-arrow-right\"><\/i><span class=\"bubble_effect\"><span class=\"circle top-left\"><\/span><span class=\"circle top-left\"><\/span><span class=\"circle top-left\"><\/span><span class=\"button effect-button\"><\/span><span class=\"circle bottom-right\"><\/span><span class=\"circle bottom-right\"><\/span><span class=\"circle bottom-right\"><\/span><\/span><\/a><\/p>","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"elementor_header_footer","meta":{"footnotes":""},"class_list":["post-398","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/nis2.management\/en\/wp-json\/wp\/v2\/pages\/398","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nis2.management\/en\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/nis2.management\/en\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/nis2.management\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nis2.management\/en\/wp-json\/wp\/v2\/comments?post=398"}],"version-history":[{"count":71,"href":"https:\/\/nis2.management\/en\/wp-json\/wp\/v2\/pages\/398\/revisions"}],"predecessor-version":[{"id":870,"href":"https:\/\/nis2.management\/en\/wp-json\/wp\/v2\/pages\/398\/revisions\/870"}],"wp:attachment":[{"href":"https:\/\/nis2.management\/en\/wp-json\/wp\/v2\/media?parent=398"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}