NIS2 Ondersteuning
NIS2 Ondersteuning: Het versterken van de digitale weerbaarheid
Met de NIS2 ondersteuning van Cuccibu krijg je inzicht in de cyberveiligheid van jouw organisatie en voldoe je aan de eisen van de NIS2-richtlijn. Wij helpen je met een nulmeting om je huidige status te bepalen en bieden begeleiding bij de implementatie van de benodigde maatregelen. Zo zorgen we ervoor dat je verantwoord en effectief omgaat met cyberrisico’s en voldoet aan de wet- en regelgeving. Zo ben én blijf je in control!
Met trots werken wij onder andere voor
Wat betekent de NIS2 voor jouw organisatie?
Het aantal cyberdreigingen, en andere veiligheidsuitdagingen die onze maatschappij en economie beïnvloeden, neemt toe. Voorbeelden uit de praktijk tonen des te meer aan dat een proactieve bescherming en voorbereiding op incidenten die de continuïteit van belangrijke en essentiële diensten kunnen onderbreken onmisbaar is. Veel organisaties vinden het een uitdaging om hun cyberbeveiliging goed in te richten. Daarnaast is er steeds meer wet- en regelgeving waaraan organisaties moeten voldoen, zo ook de NIS2-richtlijn.
De NIS2-richtlijn is van toepassing op organisaties die actief zijn in een bepaalde sector en volgens criteria worden gekenmerkt als essentiële of belangrijke entiteit. Deze organisaties krijgen te maken met vier verplichtingen, namelijk de zorgplicht, meldplicht en registratieplicht. Daarnaast komen zij onder toezicht te staan.
Veel organisaties weten niet waar ze moeten beginnen met de implementatie van de NIS2. Cyber Security is niet de kernactiviteit, en er is vaak een gebrek aan tijd, kennis en middelen. Het niet goed inrichten van de cyberbeveiliging kan grote gevolgen hebben, zoals een datalek, reputatieschade en financiële verliezen.
Bij Cuccibu begrijpen wij deze uitdagingen als geen ander. Met onze NIS2 ondersteuning zorgen wij dat jouw organisatie voldoet aan de eisen uit de NIS2-richtlijn, waarbij we de doelen van jouw organisatie niet uit het oog verliezen. Wat kunnen wij doen?
- Gap-analyse. Een grondige evaluatie om te bepalen waar jouw organisatie staat ten opzichte van de eisen uit de NIS2-richtlijn.
- Begeleiding bij implementatie. Ondersteuning bij de implementatie om te voldoen aan de verplichtingen uit de NIS2-richtlijn. Dit omvat onder andere het uitvoeren van een risicoanalyse, het opstellen van beleid, procedures en het implementeren van de benodigde beveiligingsmaatregelen (zoals genoemd in de zorgplicht).
- Sparringspartner. Het fungeren als sparringspartner voor jouw organisatie omtrent de NIS2.
Met de NIS2 ondersteuning van Cuccibu heb je niet alleen inzicht in de huidige status van de cyberbeveiliging van jouw organisatie, maar zorg je ook dat je aantoonbaar voldoet aan de eisen uit de NIS2. Hiermee vergroot je het vertrouwen van klanten, minimaliseer je risico’s en voorkom je ernstige gevolgen zoals een datalek. Zo ben én blijf je in control!
Maak vandaag nog een afspraak en vergroot de digitale weerbaarheid van jouw organisatie!
Cuccibu valt op door de no-nonsens cultuur en de prettige manier van zaken doen. Pragmatisch, meedenkend en betrokken
Marcel Slingerland Manager ICT at Reinier de Graaf Groep
In de samenwerking met Cuccibu valt mij de combinatie van professionaliteit en plezier op. Duidelijkheid en transparantie zijn hierbij ondersteunend. Cuccibu is gericht op een duurzame relatie en denkt vergaand mee.
Mevr. drs. P.M.L. (Petra) de Bruijn Lid College van Bestuur SILFO
Meest gestelde vragen (FAQ)
We zetten de meest gestelde vragen over de NIS2 voor je op een rijtje.
In 2016 trad de eerste Network and Information Security directive (NIS) in werking, met als doel de digitale weerbaarheid in de Europese Unie te verbeteren. Door de snelle digitale transformatie is nu toegewerkt naar een nieuwe richtlijn. De NIS2 breidt de reikwijdte van de oorspronkelijke NIS-richtlijn uit door meer sectoren en organisaties te omvatten, waardoor een breder spectrum aan entiteiten verantwoordelijk is voor het handhaven van een hoog cybersecurityniveau. Met een focus op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s, streeft NIS2 naar Europese harmonisatie en een verhoogd niveau van cyberbeveiliging. Het is een antwoord op de groeiende cyberdreigingen en andere veiligheidsuitdagingen die onze maatschappij en economie beïnvloeden, en benadrukt het belang van proactieve bescherming en voorbereiding op incidenten die de continuïteit van belangrijke en essentiële diensten kunnen onderbreken.
Eind 2022 is de NIS2-richtlijn aangenomen door de Europese Unie. De bepalingen uit de NIS2-richtlijn moeten worden omgezet naar nationale wetgeving. De deadline hiervoor was 17 oktober 2024. In Nederland wordt de vertaalslag gemaakt in de Cyberbeveiligingswet (Cbw). In een kamerbrief van 25 januari 2024 heeft Dilan Yesilgöz (Minister van Jusitie en Veiligheid) laten weten dat het omzetten van de richtlijn in nationale wetgeving meer tijd vraagt dan in eerste instantie werd verwacht. De deadline van 17 oktober is dan ook niet gehaald. De naleving van deze nieuwe richtlijn zal voorlopig nog niet afdwingbaar zijn in Nederland. Naar verwachting treedt de Cbw in het derde kwartaal van 2025 in werking.
Een organisatie valt onder de NIS2 wanneer zij actief is in een bepaalde sector en volgens bepaalde criteria gekenmerkt worden als essentiële of belangrijke entiteit. De sectoren die onder de NIS2-richtlijn vallen zijn als volgt verdeeld:
- Sectoren bijlage 1 (hoog kritieke sectoren): energie, transport, bankwezen, infrastructuur financiële markt, gezondheidszorg, drinkwater, digitale infrastructuur, beheerders van ICT-diensten, afvalwater, overheidsdiensten en ruimtevaart.
- Sectoren bijlage 2 (andere kritieke sectoren): digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, onderzoek en vervaardiging/manufacturing.
Daarnaast bepaalt de omvang van een organisatie of zij een essentiële of belangrijke entiteit is. Bij essentiële entiteiten wordt pro-actief toezicht gehouden op de richtlijn, terwijl bij belangrijke entiteiten alleen toezicht plaatsvindt wanneer er aanwijzingen zijn voor het niet naleven van de richtlijn of wanneer er een incident heeft plaatsgevonden. Dit komt omdat het uitvallen van een essentiële entiteit over het algemeen een zwaardere impact heeft op de economie en samenleving, dan de uitval van een belangrijke entiteit.
- Essentiële entiteit: een organisatie is een essentiële entiteit wanneer zij werkzaam is binnen een sector genoemd in bijlage 1 van de NIS2-richtlijn en wordt aangemerkt als groot (minimaal 250 werknemers OF een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro).
- Belangrijke entiteit: een organisatie is een belangrijke entiteit wanneer zij werkzaam is binnen een sector genoemd in bijlage 1 en wordt aangemerkt als middelgroot (minimaal 50 werknemers OF een jaaromzet en balanstotaal van meer dan 10 miljoen euro). Of wanneer de organisatie actief is in een sector uit bijlage 2 en wordt aangemerkt als groot of middelgroot.
In principe principe vallen micro- en kleinbedrijven niet onder de NIS2-richtlijn. Een uitzondering zijn de bedrijven die actief zijn als aanbieder van vertrouwensdiensten, als register voor topleveldomeinnamen, als verleners van domeinnaamregistratiediensten of als aanbieder van openbare elektronische communicatienetwerken of -diensten. Deze bedrijven vallen wel direct onder de NIS2-richtlijn. Daarnaast kan een minister, verantwoordelijk voor een bepaalde sector, micro- en kleinbedrijven aanwijzen te voldoen aan de NIS2-richtlijn. Bijvoorbeeld als uit de risicobeoordeling blijkt dat hun dienstverlening van cruciaal belang is voor de Nederlandse economie of maatschappij.
Tot slot kan het ook voorkomen dat je niet direct aan de NIS2-richtlijn hoeft te voldoen, maar wel indirect. Wanneer een organisatie in de toeleveringsketen van een essentiële of belangrijke entiteit opereert, kunnen door deze entiteit beveiligingseisen worden gesteld.
Organisaties die aan de NIS2-richtlijn moeten voldoen krijgen te maken met vier verplichtingen, namelijk:
- Zorgplicht: Organisaties zijn verplicht om zelf een risicobeoordeling te doen. Op basis van deze risicobeoordeling dienen technische, operationele en organisatorische maatregelen getroffen te worden om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
- Meldplicht: Organisaties dienen binnen 24 uur incidenten, die aanzienlijke gevolgen (kunnen) hebben voor de verlening van hun diensten, te melden bij de toezichthouder. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT).
- Registratieplicht: Organisaties die vallen onder de NIS2-richtlijn zijn verplicht zich te registeren. Deze registratie moet zorgen voor een Europees breed beeld van het aantal entiteiten onder de NIS2.
- Toezicht: Organisaties komen onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn zoals de zorg- en meldplicht.
Een organisatie die onder de NIS2-richtlijn valt heeft een zorgplicht. In de zorgplicht worden de volgende beveiligingsmaatregelen genoemd:
- Een risicoanalyse en beveiliging van informatiesystemen;
- (Beleid en procedures over) incidentenbehandeling;
- Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen;
- Beveiliging van de toeleveranciersketen;
- Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden;
- Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen;
- Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging;
- Beleid en procedures over het gebruik van cryptografie en encryptie;
- Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van activa;
- Het gebruik van multifactor-authenticatie, beveiligde spraak-, video- en tekst-communicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
In Nederland zal de Rijksinspectie Digitale Infrastructuur (RDI) toezichthouder worden op de volgende sectoren: energie, digitale infrastructuur, ruimtevaart, vervaardiging/manufacturing, digitale aanbieders, overheidsdiensten, post- en koeriersdiensten, onderzoek en beheer van ICT-diensten. Organisaties die actief zijn in de andere sectoren die onder de NIS2-richtlijn vallen krijgen toezicht van de betreffende sectorale toezichthouder. De Nederlandsche Bank houdt bijvoorbeeld toezicht op de financiële sector en de Inspectie Gezondheidszorg en Jeugd op de gezondheidszorg.
Het voldoen aan bestaande normenkaders voor informatiebeveiliging vormt een goede basis om invulling te geven aan de NIS2-richtlijn. Voor de sector overheidsinstanties biedt bijvoorbeeld de Baseline Informatiebeveiliging Overheid een goed uitgangspunt voor de invulling van de zorgplicht. Voor niet-overheidsorganisaties is het raadzaam voorlopig de ISO 27001 te volgen, tenzij een branche-toezichthouder anders aanbeveelt. Zo kunnen zorgorganisaties de NEN 7510 aanhouden en onderwijsinstellingen het SURF-normenkader. Het voldoen aan een ander normenkader voor informatiebeveiliging betekent overigens niet dat jouw organisatie voldoet aan de NIS2. Het werken volgens de bestaande standaarden is mogelijk niet voldoende.
Benieuwd hoe de maatregelen van NIS2 verschillen van andere normenkaders voor informatiebeveiliging? Lees dan ons driedelige blogserie:
Relevante downloads
NIS2: Het versterken van de digitale weerbaarheid
Met de NIS2 ondersteuning van Cuccibu krijg je inzicht in de cyberveiligheid van jouw organisatie en voldoe je aan de eisen van de NIS2-richtlijn. Wij helpen je met een nulmeting om je huidige status te bepalen en bieden begeleiding bij de implementatie van de benodigde maatregelen. Zo zorgen we ervoor dat je verantwoord en effectief omgaat met cyberrisico’s en voldoet aan de wet- en regelgeving. Zo ben én blijf je in control!
"*" geeft vereiste velden aan