Informatiebeveiliging

Voldoen aan de NIS2 richtlijn

Wij helpen u doelgericht aan de NIS2 te voldoen. Onze werkwijze neemt u het werk uit handen en geven praktische uitwerkingen voor ieder onderdeel van de wetgeving.

Wat is de NIS2

De “NIS 2-richtlijn”, of kortweg “NIS2”, is een cyberbeveiligingswet van de Europese Unie. Deze richtlijn specificeert cyberbeveiligingsvereisten die moeten worden geïmplementeerd door EU-bedrijven die worden beschouwd als kritieke infrastructuur. De richtlijn werd al gepubliceerd op 14 december 2022 en is een vervangt de voorgaande NIS-richtlijn. ‘NIS’ is een afkorting van Netwerk- en Informatie Systemen.

NIS2 is belangrijk omdat het strenge cyberbeveiligingseisen stelt aan een groot aantal bedrijven in de Europese Unie – volgens sommige schattingen zullen meer dan 100.000 bedrijven in de Europese Unie NIS2-compliant moeten worden. Hoewel NIS2 niet voor zoveel bedrijven geldt als bijvoorbeeld de GDPR (AVG) van de EU, zal het zeker een de facto standaard worden voor kritieke infrastructuur die andere (niet-EU) landen zullen navolgen – een zeer vergelijkbaar scenario heeft zich al voorgedaan in niet-EU-landen met privacyregelgeving die veel lijkt op de GDPR van de EU.

Boetes kunnen oplopen tot €10 miljoen of 2% van de totale wereldwijde jaaromzet. Belangrijk is dat NIS2 ook de verantwoordelijkheid van directieleden benadrukt; zij kunnen hoofdelijk aansprakelijk worden gesteld bij incidenten.

Wanneer geldt de NIS2

Organisaties binnen ondergenoemde sectoren, voor zo ver ze minimaal 50 werknemers en/of ten minste een jaaromzet (en/of jaarlijkse balanstotaal) hebben van EUR 10 miljoen. Daarnaast bestaan een aantal specifieke situaties waarin de grootte van de organisaties geen rol speelt.

  • Categorie 1: energie; vervoer; bankwezen; infrastructuur voor de financiële markt; gezondheidszorg; drinkwater; afvalwater; digitale infrastructuur; beheer van ICT-diensten; overheid; ruimtevaart
  • Categorie 2: post- en koeriersdiensten; afvalstoffenbeheer; vervaardiging, productie en distributie van chemische stoffen; productie, verwerking en distributie van levensmiddelen; vervaardiging; digitale aanbieders; onderzoek

Organisaties onder de NIS2 worden minimaal als “belangrijke entiteit” aangemerkt. Organisaties uit categorie 1 die minimaal 250 werknemers en/of een jaaromzet van EUR 50 miljoen en/of een jaarlijkse balanstotaal van EUR 43 miljoen hebben, zullen worden aangemerkt als “essentiële entiteit”. Deze krijgen te maken met strenger toezicht en handhaving dan de belangrijke entiteiten.

Check of de NIS2 geldt op https://regelhulpenvoorbedrijven.nl/NIS-2-NL/

Naast organisaties geldt de NIS2 ook voor onderdelen van de centrale overheid (Rijksoverheid)  als essentiële entiteiten. Zelfstandige bestuursorganen vallen onder de werking van NIS2 voor zover zij voldoen aan de criteria die NIS2 hanteert om een overheidsentiteit te zijn.

30 Jaar ervaring

Welke begeleiding kiest u?

Begeleiding op hoofdlijnen

Ideaal wanneer u het certificaat op -grotendeels- eigen kracht wilt behalen. Van Voorst Consult neemt een voornamelijk adviserende rol aan. Dit bespaart kosten en geeft u kennisoverdracht zodat u het systeem na certificering zelf kunt beheren.

Lees meer

Advies en ondersteuning

Onze benadering is gebaseerd op een naadloze combinatie van professioneel advies en praktische ondersteuning. Wij nemen de rol aan van enthousiaste katalysator, en in nauwe samenwerking met u zetten we gezamenlijke acties in gang.

Lees meer

Volledig ontzorgen

U schakelt ons volledig in. Handig wanneer u krap in tijd zit. Onze adviseur neemt zoveel mogelijk uit handen zodat u het certificaat soepel behaald en behoudt. Wij ontzorgen u zodat uw organisatie kan doen waar zij goed in is.

Lees meer

Onderdelen van de NIS2

De belangrijkste onderdelen van de NIS2 zijn onder te verdelen in een viertal themas, te weten:

  • Zorgplicht, om hun diensten zoveel mogelijk te waarborgen en gebruikte informatie te beschermen. Denk aan risicomanagement waaronder minimaal benoemd zaken als opleiding, cryptografie, MFA, BCP en supply chain.
  • Registratieplicht, denk aan meting, logging, auditting en incidentenmanagement.
  • Meldplicht van incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. Net als bij de AVG zal er een toezichthouder worden aangewezen die naast ondergenoemde toezicht ook incidenten zal ontvangen en opvolgen. Daarnaast komt er een CSIRT (Computer Security Incident Response Team).
  • Toezicht, op de naleving van de verplichtingen uit de richtlijn. Voor de NIS was dit de NCSC. vanuit de uitwerking van de Europese NIS2 zal blijken welke sectoren onder welke toezichthouder komt te vallen.

Wat betekent dit voor uw organisatie?

Feit zal zijn dat ook bedrijven die primair niet onder de NIS2 vallen vanuit kun klant worden ‘meegenomen’ in deze NIS-eisen. Vergelijk dit met de CSRD-wetgeving. Tenslotte is vanuit risicomanagement en de genoemde ‘zorgplicht’ de keten van belang. Momenteel dient de NIS2 nog vertaald te worden naar lokale, Nederlandse, wetgeving waarmee de ‘algemene’ eisen in de Europese richtlijn vertaald worden naar meer concrete en toetsbare eisen.

Nu starten met een eerste voorbereiding is zeer gewenst. Een werkwijze conform de NIS2 is namelijk niet in 2-3 maanden neer te zetten. Heeft u al een ISO 27001-certificering of bent u hiermee bezig, dan heeft u al een  zeer goede basis, een ISMS, staan waarin de NIS2 opgenomen kan worden.

Wilt of moet u starten met een eerste inventarisatie en inrichten van uw bedrijfsvoering naar de NIS2 neem dan vrijblijvend contact op voor een kennismaking en toelichting van onze doelgerichte werkwijze.

#kennisbank

Kom meer te weten over informatiebeveiliging en de NIS2 wetgeving

De wereld om ons heen

Blog

Duurzaamheid: mens, milieu en maatschappij

In de afgelopen jaren heeft duurzaamheid een sterke opmars gemaakt, en die trend zet zich voort. Het is voor bedrijven dan ook essentieel om hierop te acteren. Duurzaamheid kan voortkomen uit rapportageverplichtingen zoals de CSRD, of uit vragen van klanten, leveranciers, en -niet onbelangrijk- de eigen medewerkers.

Mitsubishi Forklift Trucks - logo

Blog

Mitsubishi Forklift Trucks behaalt MVO Prestatieladder

Mitsubishi Forklift Trucks heeft het certificaat MVO Prestatieladder ontvangen. Deze certificering is een belangrijke mijlpaal in het streven van Mitsubishi Forklift Trucks naar maatschappelijk verantwoord ondernemen (MVO). De MVO Prestatieladder bevestigt de inzet van bedrijven op het gebied van duurzaamheid en sociaal beleid.

Corrigerende maatregel

Blog

Corrigerende actieplan bij certificatie audit

Het corrigerend actieplan na een certificatie audit is het laatste onderdeel naar het daadwerkelijk verkrijgen van het certificaat. Dit is een belangrijk onderdeel, omdat continu verbeteren een voorwaarde is in alle certificatieschema’s. Het gaat daarbij om het uitvoeren van de juiste corrigerende maatregelen, waarbij de onderliggende oorzaak wordt achterhaald, om zo herhaling te voorkomen.

We helpen je graag met een AVG wetgeving

Vrijblijvend advies

Laten we kennis maken!

Van Voorst Consult helpt, als kennispartner, ondernemers met de implementatie van kwaliteitsmanagement en certificering op een werkbare en effectieve wijze. Heeft u een vraag of reactie voor Van Voorst Consult? Wij helpen u graag. Neem vrijblijvend contact op via het formulier.