Laat ons je helpen met NIS2- compliance
Het werk bij Clixz Consultancy gaat hand in hand met cybersecurity. Onze partner van Oers, specifiek: IT Advies en IT Audit, wees ons in een recent gesprek nog op een belangrijk onderwerp dat het aanstippen waard is! In dit artikel willen we dieper ingaan op dat belangrijke onderwerp dat de cybersecuritywereld beïnvloedt: de Network and Information Systems Directive, beter bekend als NIS. En natuurlijk, het opvolgende NIS2, dat in het laatste kwartaal van volgend jaar in gaat. Maar wat is eigenlijk het verschil?
Het Verschil Tussen NIS en NIS2
NIS, in het leven geroepen om de cybersecurity binnen de EU te versterken, legt de nadruk op de bescherming van kritieke infrastructuren van essentiële diensten. Het was een belangrijke stap in de richting van een veerkrachtiger digitaal landschap. Met de technologische evolutie en toenemende cyberdreigingen werd NIS2 geboren.
NIS2 in een Notendop
NIS2, de tweede fase van deze richtlijnen, gaat verder dan het beschermen van infrastructuren en diensten. Met strengere eisen en bredere dekking daagt NIS2 organisaties uit om hun cybersecuritystrategieën naar een hoger niveau te tillen. De NIS2-richtlijn richt zich, naast sectoren die al onder de eerste NIS-richtlijn vallen, ook op een aantal nieuwe sectoren. Het aantal publieke en private organisaties dat onder de richtlijn valt wordt dus groter. Een belangrijk verschil met de eerste NIS richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in een van de onderstaande sectoren en volgens de onderstaande criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.
Groep A | Groep B |
Energie | Digitale aanbieders |
Transport | Post- en koeriersdiensten |
Bankwezen | Afvalstoffenbeheer |
Infrastructuur financiële markt | Levensmiddelen |
Gezondheidszorg | Chemische stoffen |
Drinkwater | Onderzoek |
Digitale infrastructuur | Vervaardiging/manufacturing |
Beheerder van ICT diensten | |
Afvalwater | |
Overheidsdiensten | |
Ruimtevaart |
Essentiële entiteiten: dit betreffen grote organisaties die actief zijn in een sector uit groep A in de tabel. Een organisatie is groot op basis van de volgende criteria:
- minimaal 250 werknemers of;
- een jaaromzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen.
Belangrijke entiteiten: dit betreffen middelgrote organisaties die actief zijn in een sector uit groep A en middelgrote en grote organisaties die actief zijn in een sector uit groep B. Een organisatie is middelgroot op basis van de volgende criteria:
- minimaal 50 werknemers of;
- een jaaromzet en balanstotaal van meer dan 10 miljoen euro.
Welke verplichting schrijft NIS2 voor?
De NIS2-richtlijn schrijft een zorg- en meldplicht voor. Tevens wordt er toezicht gehouden op de betreffende organisaties.
Zorgplicht: De richtlijn bevat een zorgplicht die entiteiten verplicht om zelf een risicobeoordeling te doen. Op basis daarvan nemen zij passende maatregelen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
Meldplicht: De richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur bij de toezichthouder moeten melden. Het gaat om incidenten die de verlening van de dienst sterk (kunnen) verstoren. Een cyberincident moet ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden. Dit team kan vervolgens hulp- en bijstand leveren. Factoren die een incident meldingswaardig maken, zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
Toezicht: Organisaties die onder de richtlijn vallen, komen ook onder toezicht te staan op naleving. Let op:
- Essentiële sector: voor- en achteraf toezicht;
- Belangrijke sector: achteraf toezicht.
Clixz Consultancy en van Oers: uw Gids in NIS2-Compliance
Nu je op de hoogte bent van het verschil, laten we het hebben over hoe Van Oers en Clixz Consultancy jouw organisatie kan bijstaan in het voldoen aan de NIS2-richtlijnen.
Van Oers IT Advies
Om te kunnen voldoen aan de zorgplicht heeft Van Oers IT Advies een risicobeoordeling ofwel cybersecurity assessment ontwikkeld. Met dit assessment krijgen organisatie inzicht in de al reeds aanwezige beheersmaatregelen en de maatregelen welke nog worden gemist om de aanwezige cyber risico’s te mitigeren. Het betreft dus een nulmeting van uw cybersecurity raamwerk. Naast het inzicht, wordt een roadmap aangeleverd welke de quick wins en de middel(lang) termijn acties definieert om te komen tot een effectief cybersecurity beleid en stelsel van maatregelen. Hierbij wordt gebruik gemaakt van het negenvlak model waarbij de aspecten “Mens”, “Proces” en “Techniek” in mee worden genomen zodat een evenwichtig raamwerk wordt nagestreefd.
Tevens kan Van Oers ondersteuning bieden bij het invullen van de meldplicht en het aantonen van naleving cybersecurity maatregelen. Dit door een cybersecurity incidentproces te implementeren, gericht op uw organisatie en daarnaast een response proces te ontwerpen zodat schade wordt beperkt indien een impactvolle cyberincident plaatsvindt. Het aantoonbaar maken van naleving, uit zicht in rapportage, opvolging en testen van bepaalde cyberprocessen en procedures.
Clixz Consultancy
Clixz Consultancy kan met name technische cybersecurity maatregelen versterken met een specifieke focus op authenticatieprotocollen zoals oAuth2 en OpenID Connect.
Onze geavanceerde auth-proxy fungeert als een sleutelcomponent in het versterken van jouw beveiligingsarsenaal. Deze proxy biedt niet alleen extra bescherming bij inlogpogingen, maar optimaliseert ook de verificatieprocessen met behulp van oAuth2 en OpenID Connect. Dit betekent een veiligere omgeving en soepelere gebruikerservaringen – een win-win voor jouw organisatie.
Wat levert het op
Wanneer organisaties hun beveiligingseisen niet op orde hebben zal dit waarschijnlijk resulteren in meer en hogere boetes. De boetes kunnen oplopen tot ten minste 10 miljoen euro of 2% van de totale wereldwijde omzet. De hoogte zal afhankelijk zijn van de aard van de inbreuk. Het is belangrijk om als organisatie ook te beseffen dat het voldoen aan de NIS2-richtlijn ook zeker wat gaat opleveren:
- Verbeterde cybersecurity;
- Vermindering van risico’s;
- Vertrouwen van belanghebbenden;
- Samenwerking en informatie-uitwisseling;
- Verbeterde operationele efficiëntie door verbetering beveiligingspraktijken.
Tot slot
Wil je meer weten over hoe wij je kunnen helpen navigeren door de complexiteiten van NIS2-compliance? Neem gerust contact met ons op voor verdere informatie, een persoonlijk adviesgesprek of een boeiende demo.
Bij Clixz Consultancy zetten we, in samenwerking met onze partners, in op een veiligere digitale toekomst. Laten we samen die uitdagingen aangaan en jouw organisatie naar nieuwe hoogten tillen!