Wat staat er in de NIS2 wet?

Hieronder vind je een overzicht van beleidsmaatregelen en procedures conform de NIS2 richtlijn. Deze gaat alleen over de groep essentiële en belangrijke bedrijven.

Er is een NIS2 checklist die je kunt gebruiken.

NIS2 hoofdpunten voor essentiële en belangrijke bedrijven zoals die staan beschreven in de wet:

1. Beleid opstellen inzake risicoanalyse en de beveiliging van informatiesystemen.
2. Incidentafhandeling inregelen.
3. Garanderen van bedrijfscontinuïteit, zoals back-upbeheer en rampenherstel, evenals crisismanagement.
4. Zorgen voor beveiliging van de toeleveringsketen, inclusief alle beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en de directe leveranciers of dienstverleners, op basis van een risico-inventarisatie.
5. Beveiliging toepassen in de verwerving, ontwikkeling en het onderhoud van netwerk- en informatiesystemen, inclusief het omgaan met kwetsbaarheden en openbaarmaking.
6. Beleid en procedures inregelen om de effectiviteit van cybersecurity risicobeheersmaatregelen te beoordelen.
7. Basispraktijken voor cyberhygiëne toepassen voor de eigen organisatie en directe leveranciers. Onderdeel daarvan is cybersecurity training voor medewerkers en NIS2 training voor directie en bestuurders.
8. Beleid en procedures toepassen met betrekking tot het gebruik van cryptografie en, waar van toepassing, encryptie.
9. Veiligheidsmaatregelen voor personeel, toegangscontrolebeleid en beheer van bedrijfsmiddelen.
10. Het gebruik van multi-factor authenticatie (MFA) of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit, indien van toepassing.

Let op: ketenzorgplicht

Als essentieel of belangrijk bedrijf moet je niet alleen jouw eigen digitale veiligheid versterken, maar ook ervoor zorgen dat de veiligheid binnen de toeleveringsketen gewaarborgd wordt. Dit betekent het implementeren van robuuste beveiligingsmaatregelen en het nauw samenwerken met leveranciers om potentiële cyberdreigingen te minimaliseren. Zo is het van belang dat de NIS2 vereisten contractueel worden vastgelegd. (Logischerwijze in je inkoopvoorwaarden maar het kan ook in een apart contract.)

NIS2 acties voor toeleveranciers (mkb)

Mkb-bedrijven die leveren aan essentiële en/of belangrijke bedrijven moeten ook actie ondernemen:

1. Wijs iemand aan die het project gaat regelen.
2. Een zelfevaluatie uitvoeren is de eerste stap. Dit helpt bij het bepalen van de huidige staat van cybersecuritypraktijken en -processen binnen het bedrijf.
3. Het is essentieel om in samenwerking met grote klanten de potentiële risico’s te identificeren die het bedrijf kan introduceren in hun toeleveringsketen. Op basis van deze analyse kan worden bepaald welke beveiligingsniveaus noodzakelijk zijn. Hier moeten dan samen afspraken over worden gemaakt.
4. Organisatorische, mensgerichte, fysieke en technologische maatregelen moeten worden geïmplementeerd om te voldoen aan de vastgestelde beveiligingsniveaus. Dit omvat een systematische aanpak voor het verbeteren van alle aspecten van cybersecurity binnen het bedrijf.
5. Het is belangrijk om de medewerkers betrekken bij het beveiligingsproces. Regelmatige updates en trainingen zijn cruciaal.
6. Communicatie over naleving: Het is aan te raden om de genomen stappen en de bereikte naleving te communiceren aan klanten en leveranciers. Duidelijke communicatie over de inspanningen en resultaten helpt bij het opbouwen van vertrouwen en kan ook als een marketinginstrument dienen.

Gebruik de NIS2 checklist voor mkb-leveranciers

Hulp bij NIS2 naleving

Samen Digitaal Veilig heeft praktische todo-lijsten ontwikkeld waarin de bovenstaande punten worden omgezet in praktische maatregelen. Zo wordt de samenwerking tussen essentiële en belangrijke bedrijven en hun toeleveranciers gefaciliteerd.

Bedrijven kunnen starten met de NIS2 norm die bij hen past. Een mogelijkheid is het behalen van het NIS2 Quality Mark. Deze is ontwikkeld om NIS2 haalbaar te maken voor iedereen, ook voor (kleinere) mkb-toeleveranciers. Lees meer over de NIS2 ondersteuning van Samen Digitaal Veilig.