NIS2
Jouw bedrijf klaarstomen voor de NIS2-wetgeving, stap voor stap naar compliantie.
NIS2, een Europese richtlijn, omvat een reeks regelgevingen die de veiligheid en weerbaarheid van netwerk- en informatiesystemen binnen de Europese Unie waarborgen. Ontdek of jouw bedrijf onderhevig is aan NIS2.
Onze ISO27001-certificering bevestigt onze succesvolle implementatie van de NIS2 richtlijnen. We staan klaar om jou ook NIS2-compliant te maken, zodat je volledig voorbereid bent op de volgende cyberaanval!
Doelstellingen van NIS2
-
Cybersecurity voor nationale overheden: Het verplichten van nationale overheden om cybersecurity serieuzer te nemen.
-
Europese samenwerking: Het versterken van samenwerking tussen cybersecurityautoriteiten binnen de EU.
-
Veiligheidsmaatregelen voor belangrijke operatoren: Het opleggen van veiligheidsmaatregelen en incidentmeldingsvereisten voor belangrijke operatoren in vitale sectoren.
Is jouw organisatie onderhevig aan NIS2?
De toepassingsgebieden zijn uitgebreid en niet langer afhankelijk van voorafgaande identificatie door nationale autoriteiten. Belangrijke criteria zijn de sector waarin een entiteit actief is en de grootte ervan. Hier volgen meer details:
Sectoren
Zeer kritieke sectoren:
-
Energie
-
Vervoer
-
Bankwezen
-
Infrastructuur van de financiële markten
-
Gezondheidszorg
-
Drinkwater
-
Afvalwater
-
Digitale infrastructuur
-
Beheer van ICT-diensten
-
Overheid
-
Ruimtevaart​
Andere kritieke sectoren:
-
Post- en koerierdiensten
-
Afvalstoffenbeheer
-
Vervaardiging, productie en distributie van chemische stoffen
-
Productie, verwerking en distributie van levensmiddelen
-
Vervaardiging van medische hulpmiddelen
Grootte van bedrijven
-
Grote ondernemingen: Ten minste 250 werknemers OF een jaaromzet van ten minste 50 miljoen euro OF een jaarlijks balanstotaal van ten minste 43 miljoen euro.
-
Middelgrote ondernemingen: Ten minste 50 werknemers OF een jaaromzet (of balanstotaal) van ten minste 10 miljoen euro.
Maatregelen
-
Beleid inzake risicoanalyse en beveiliging van informatiesystemen;
-
Incidentenbehandeling;
-
Bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer;
-
De beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverlener beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
-
Beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
-
Basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
-
Beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
-
Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
-
Wanneer gepast, het gebruik van multifactor authenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
Rapportageverplichting
Essentiële en belangrijke entiteiten moeten belangrijke incidenten onmiddellijk melden aan de nationale autoriteiten. Dit omvat incidenten met ernstige gevolgen voor dienstverlening in specifieke sectoren. Een ernstig incident kan operationele verstoringen veroorzaken of schade toebrengen aan natuurlijke of rechtspersonen.
De melding moet verschillende stappen doorlopen, waaronder vroegtijdige waarschuwingen, volledige incidentmeldingen en eindverslagen. Klanten moeten ook worden geïnformeerd over significante incidenten. Daarnaast kunnen entiteiten vrijwillig verslagen indienen over andere incidenten, cyberdreigingen en preventieve maatregelen.
Sancties
Essentiële entiteiten kunnen administratieve geldboetes krijgen tot maximaal 10 miljoen euro of tot 2% van hun totale wereldwijde jaaromzet in het voorgaande boekjaar, afhankelijk van welk bedrag hoger is.
​
Voor belangrijke entiteiten kunnen de boetes oplopen tot maximaal 7 miljoen euro of tot 1,4% van hun totale wereldwijde jaaromzet in het voorgaande boekjaar, eveneens afhankelijk van welk bedrag hoger is.