NIS2-startpunt

NIS2-richtlijn voor digitale en economische weerbaarheid

De Network and Information Security Directive (NIS2-richtlijn) is gericht op een versterking van de digitale en economische weerbaarheid van Europese lidstaten. Meer specifiek richt het zich op digitale (cyber)risico’s voor netwerk- en informatiesystemen, zoals het internet en het betalingsverkeer.

Extra weerbaarheid voor kritieke sectoren

Bedrijven en organisaties vallen automatisch onder de Cyberbeveiligingswet (NIS2) als ze actief zijn in een (zeer) kritieke sector én aan bepaalde voorwaarden voldoen. Lees voor wie de Cyberbeveiligingswet geldt. Check met de Zelfevaluatietool NIS2 of jouw bedrijf onder deze wet valt.

Wat schrijft de Cyberbeveiligingswet voor?

 
10 Zorgplichtmaatregelen

NIS2-bedrijven moeten maatregelen nemen om hun netwerk- en informatiesystemen tegen incidenten te beschermen. Hetzelfde geldt voor de fysieke omgeving waarin de systemen zich bevinden. Onder de zorgplicht vallen ten minste:

  • Maatregel 1: Een risicoanalyse en beveiliging van informatiesystemen;
  • Maatregel 2: Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van assets;
  • Maatregel 3: Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen; 
  • Maatregel 4: Incidentenbehandeling; 
  • Maatregel 5: Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging;
  • Maatregel 6: Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden;
  • Maatregel 7: Beveiliging van de toeleveranciersketen;
  • Maatregel 8: Beleid en procedures over het gebruik van cryptografie en encryptie; 
  • Maatregel 9: Het gebruik van multifactorauthenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen; 
  • Maatregel 10: Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen.

Graag geven we meer uitleg en adviezen voor elk van deze 10 maatregelen zodat je je organisatie bijtijds kunt voorbereiden op de Cyberbeveiligingswet. Omdat deze maatregelen nog niet zijn uitgewerkt in de regelgeving baseren we de suggesties, tips en handreikingen op wat er gangbaar is in de cybersecuritypraktijk.

Start bij Maatregel 1.

 

  • Registratieplicht

    Wie onder de Cyberbeveiligingswet valt, moet zich registreren bij het Nationaal Cyber Security Centrum (NCSC).
  • Meldplicht

    Incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren, moeten gemeld worden bij de toezichthouder. Betreft het een cyberincident? Dan moet dit ook gemeld worden bij het Computer Security Incident Response Team (CSIRT) dat vervolgens hulp- en bijstand levert. Factoren die een incident 'meldingswaardig' maken, zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
  • Toezicht

    NIS2-bedrijven komen onder toezicht te staan van een nader te bepalen toezichthouder. Deze kijkt naar de naleving van de verplichtingen uit de Cyberbeveiligingswet zoals zorg- en meldplicht.

Rechten en verplichtingen per 17 oktober 2024

Wat zijn de gevolgen van het niet-tijdig omzetten van de NIS2-richtlijn naar nationale wetgeving? Lees verder

1. Maak een beleidsplan risicoanalyse

NIS2-organisaties moeten een beleid inzake risicoanalyse en beveiliging van informatiesystemen hebben. Een risicoanalyse is een essentiële eerste stap voor het verkrijgen van de nodige inzichten. Je bepaalt ermee welke risico's het zwaarst drukken en waar beveiligingsmaatregelen het hardst nodig zijn.

2. Personeel, toegangsbeleid en beheer assets

NIS2-organisaties hebben beleid en procedures om de toegang en rechten voor assets zoals apparaten, servers etc. te beschermen. Daarvoor is nodig dat het personeel bewust is van de veilige omgang met de assets. Ook vraagt het beleid op het verstrekken van toegang tot de assets.

Informatiebrochure NIS2-richtlijn

Voor wie geldt Cyberbeveiligingswet straks? De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft de reikwijdte van de aankomende NIS2-wetgeving in een brochure vervat. Ook over de meldplicht en het toezicht vind je hier meer informatie en toelichting.

De NIS2-Quickscan

De NIS2-Quickscan is een tool voor organisaties die willen weten hoe zij zich kunnen voorbereiden op de Cyberbeveiligingswet. Deze scan is met name bedoeld voor IT- en cybersecurity-specialisten en -verantwoordelijken binnen bedrijven. De scan biedt ook handelingsperspectief: per thema worden technische of organisatorische maatregelen voorgesteld die kunnen bijdragen aan de digitale weerbaarheid van organisaties en aan de voorbereiding op de Cyberbeveiligingswet.

Hoe stuur je op effectieve informatiebeveiliging?

Effectieve informatiebeveiliging vereist een samenspel van verschillende disciplines, rollen en informatie in (en rondom) de organisatie. Als CISO (Chief Information Security Officer) heb je een sturende en aanjagende rol in het realiseren van een passend niveau van digitale weerbaarheid. 

Ketenbeveiliging - Good Practices

Hoe pak je ketenbeveiliging in de praktijk aan? We vroegen het een 6-tal CISO's en ISO's van aan het Digital Trust Center verbonden ISAC's. Met hun ervaringsverhalen zijn de Good Practices bij Ketenbeveiliging samengesteld. 

Stel je vragen over NIS2 aan de DTC Community

Het Digital Trust Center biedt securityprofessionals de mogelijkheid om vragen over NIS2 of Cbw te stellen aan de DTC Community in de NIS2-samenwerkruimte. Meld je aan, stel je vraag of deel je kennis met andere professionals die zich ook met de NIS2-voorbereidingen bezighouden.

Breng NIS2 onder de aandacht in jouw netwerk

Wil je de Cyberbeveiligingswet (NIS2) onder de aandacht brengen in jouw netwerk? Gebruik dan deze NIS2-toolkit met verschillende webpagina's, afbeeldingen, tools en social media posts die je kunt gebruiken om NIS2 onder de aandacht te brengen.