Maak uw organisatie cyberklaar voor NIS2

 

De nieuwe EU-wetgeving voor cyberbeveiliging zal gevolgen hebben voor veel meer organisaties. Bedrijven die zich niet aan de wetgeving houden, riskeren boetes. Lees onze gids om ervoor te zorgen dat uw organisatie cyberklaar is voor NIS2.

Deze pagina wordt continue geupdated met relevante bronnen en ontwikkelingen met betrekking tot de NIS2.

Belangrijkste leerpunten

  1. Met ingang van 18 oktober 2024 wordt de EU-richtlijn Netwerk- en informatiebeveiliging (Network and Information Security - NIS2) van kracht en Nederland zal naar verwachting soortgelijke wetgeving aannemen.
  2. Deze wetgeving zal voor meerdere bedrijven gaan gelden met de eis om hun maatregelen voor cyberbeveiliging aan te scherpen.
  3. Elk bedrijf moet naar de vereisten voor NIS2 kijken en beoordelen of het hieraan voldoet, anders riskeert het mogelijk hoge boetes.

Wat is de NIS2-richtlijn?

De Network and Information Security (NIS2)-richtlijn Opens in a new tab van de Europese Unie vervangt de NIS-richtlijn 2016 en heeft tot doel een "hoog gemeenschappelijk niveau van cyberbeveiliging in alle EU-lidstaten" te waarborgen door de vereisten voor cyberbeveiliging verder te versterken in cruciale infrastructuur en in die bedrijfstakken en organisaties die onmisbaar zijn voor het functioneren van de economie.

NIS2 is op 16 januari 2023 goedgekeurd en alle EU-lidstaten moeten de nodige maatregelen treffen en publiceren om uiterlijk op 17 oktober 2024 aan de richtlijnen te voldoen. Deze maatregelen zullen op 18 oktober 2024 van kracht worden. Bedrijven die binnen de EU actief zijn, zullen moeten voldoen aan NIS2 om ervoor te zorgen dat ze constante niveaus van cyberbeveiligingsnormen kunnen aantonen.

Wat zijn de belangrijkste wijzigingen?

De belangrijkste wijzigingen onder NIS2 zijn:

Uitbreiding van industriële sectoren en entiteiten die onder de reikwijdte van NIS2 vallen.

De oorspronkelijke NIS omvatte zogenaamde exploitanten van essentiële diensten zoals watervoorziening, gezondheidszorg, transport en sommige digitale dienstverleners. NIS2 is uitgebreid met sectoren zoals post- en koeriersdiensten, voedsel, ruimtevaart en afvalwaterverwerking, evenals tal van middelgrote bedrijven met minimaal 50 werknemers en een omzet van meer dan € 10 miljoen.

Bestuurders­aansprakelijkheid.

Het management is verantwoordelijk voor het goedkeuren van de maatregelen voor het beheer van cyberbeveiligingsrisico's die door hun bedrijf zijn genomen, voor het toezicht op de uitvoering ervan, en kan aansprakelijk worden gesteld voor overtreding van de regels. Managementleden moeten een training volgen zodat ze voldoende kennis en vaardigheden opdoen om risico's te identificeren en risicobeheerpraktijken op het gebied van cyberbeveiliging en de impact ervan op hun diensten te beoordelen.

Aangescherpte maatregelen voor risicobeheer op het gebied van cyberbeveiliging

Bedrijven dienen passende en evenredige technische, operationele en organisatorische maatregelen te nemen om hun cyberrisico's te beheersen en de impact van incidenten op ontvangers van hun diensten te voorkomen of tot een minimum te beperken.

Voor bedrijven die nu onder NIS2 vallen gelden minimumvereisten die zij moeten implementeren. Deze vereisten variëren van het gebruik van meervoudige authenticatie tot het afhandelen van incidenten en beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico's te beoordelen.

Door het bedrijf genomen maatregelen voor risicobeheer op het gebied van cyberbeveiliging moeten worden gedocumenteerd en er moet bewijs van de implementatie van het cyberbeveiligingsbeleid beschikbaar zijn. Zo moet incidentenafhandeling duidelijk omschreven zijn en moet elk bedrijf over rampherstelplannen beschikken.

Bij een cyberincident moeten organisaties binnen een kort tijdsbestek drie specifieke stappen doorlopen:

  • Binnen 24 uur na een cyberaanval moet een eerste waarschuwing worden gestuurd naar de verantwoordelijke autoriteit in het land waarin de aanval heeft plaatsgevonden.
  • Binnen 72 uur moet nadere informatie over het incident worden verstrekt.
  • Binnen een maand moet een definitief detailrapport over het incident beschikbaar zijn.
Beveiliging van de toeleveringsketen valt ook binnen het toepassingsgebied

Cybersecurity risicomanagement wordt uitgebreid met supply chain security. Bedrijven die onder NIS2 vallen, moeten rekening houden met de kwetsbaarheden die specifiek zijn voor elk van hun directe leveranciers en dienstverleners om de impact van incidenten in de toeleveringsketen op ontvangers van hun diensten en op andere diensten te voorkomen of te minimaliseren.

Hogere boetes

"Essentiële" bedrijven die NIS2 niet naleven, krijgen te maken met administratieve boetes van maximaal € 10 miljoen of maximaal 2 procent van hun totale wereldwijde jaaromzet (welke van beide het hoogst is), terwijl "belangrijke" bedrijven boetes krijgen van maximaal € 7 miljoen of 1,4 procent (welke van beide het hoogst is).

Ga het gesprek aan met ons team

Contact

Ralf Willems
Managing Consultant
Cyber Solutions
06 51 99 29 25
[email protected]

Frank Ruijgrok
Principal Consultant
Cyber Solutions
06 46 12 39 88
[email protected]

Juliette Roest
Cyber Risk Consultant
[email protected]
06 29 05 13 18

On demand Webinars

Bekijk NIS2 Insights - webinar 1 (maart 2023) Bekijk NIS2 Insights - webinar 2 (juni 2023)

Relevante bronnen

Artikel
NIS2 Insights 1: Impact en stappenplan Opens in a new tab

Artikel
NIS2 Insights 2: Voorbereiding voor organisaties Opens in a new tab

Artikel
Bestuurders, kom in actie Opens in a new tab

Voor welke bedrijven geldt de NIS2-richtlijn?

De EU verdeelt de lijst van bedrijven waarop de NIS2-richtlijn van toepassing is in 'essentieel' en 'belangrijk' (zie hieronder). Deze lijst bevat energieleveranciers, online marktplaatsen, bedrijven, maar ook tal van middelgrote bedrijven en overheidsinstanties. Hoewel de belangrijkste doelstellingen voor NIS2 middelgrote bedrijven en grote bedrijven zijn, kunnen sommige kleinere bedrijven ook onder de vereisten van NIS2 vallen als aan bepaalde voorwaarden wordt voldaan of als ze als essentieel worden beschouwd.

Bedrijven moeten zelf vaststellen of NIS2 op hen van toepassing is. Dit geldt ook voor bedrijven die deel uitmaken van de toeleveringsketen van als essentieel of belangrijk aangemerkte bedrijven of sectoren. In de NIS2-richtlijn is een bijlage met essentiële en belangrijke sectoren opgenomen, waarvan u hieronder een overzicht ziet. U kunt aan de hand hiervan vaststellen of deze richtlijn (mogelijk) ook op uw bedrijf van toepassing is. De consultants van Aon gaan graag met u in gesprek over wat NIS2 voor uw organisatie gaat betekenen en hoe uw organisatie zich kan voorbereiden.

 

Essentieel

Bankwezen

Digitale infrastructuur (DNS, IXP, TLD, ICT)

Energie

Infrastructuren in financiële markten

Gezondheidszorg

ICT servicemanagement

Publieke administratie

Ruimtelijke ordening

Transport

Water en riolering

Overheidsdiensten

Belangrijk

Leveranciers van digitale platformen

Fabricage

Fabricage, productie en distributie van chemicaliën

Post- en koeriersdiensten

Productie, verwerking en distributie van voedsel

Onderzoek

Afvalbeheer

Wat moeten bedrijven weten?

Of uw bedrijf nu een essentiële of belangrijke entiteit is, elke organisatie moet vóór de implementatiedatum in oktober 2024 naar de vereisten van NIS2 kijken beoordelen of ze daaraan voldoen. Deze vereisten omvatten het ondernemen van stappen rond operationeel cyberrisicobeheer; cyberhygiëne; incidentafhandeling; melding van incidenten; en beveiliging van de toeleveringsketen.

Net als bij de AVG-wetgeving van de EU loont het voor bedrijven om dit proces ruim op tijd te starten om problemen te voorkomen. Door gebruik te maken van meer dan 20 jaar ervaring met het leveren van cyberoplossingen in verschillende domeinen, kunnen wij u hulp, ondersteuning en advies bieden in elke fase inzake NIS2.

Wat NIS2 vereist

Hoe Aon kan helpen

Beoordeel de effectiviteit van maatregelen voor risicobeheer op het gebied van cyberbeveiliging.

Optimalisatie van eindige budgetinvesteringen om uw organisatie te helpen een zo hoog mogelijk rendement op uw beveiligingsinvesteringen te behalen

Basis cyberhygiëne

Geef een beoordeling van de cyberhouding en algemene cyberhygiëne van uw organisatie om zo het evalueren en lokaliseren van hiaten in uw risico- en beveiligingsmaatregelen mogelijk te maken.

Multi-factor of continue authenticatie (MFA)

Bied strategische ondersteuning voor de selectie, acceptatie en implementatie van geschikte Multi-factor Authentication-oplossingen

Beleid en procedures met betrekking tot cryptografie

Ontwikkel gespecificeerde modellen voor de constructie en uitrol van specifieke trainingsmodules voor gebruikersbewustzijn.

Beveiliging van de toeleveringsketen

Stem het cyberrisico in de toeleveringsketen af op uw bestaande raamwerk voor risicobereidheid van uw bedrijf en ontwikkel een bedrijfsspecifieke aanpak om de cyberweerbaarheid van de toeleveringsketen beter te analyseren en aan te pakken.

Afhandeling van cyberincidenten

Analyseer in welke mate u voorbereid bent om cyberincidenten af te kunnen handelen en analyseer de ontwikkeling van uitgebreide incidentresponsprotocollen, waaronder:

  • Beoordeling van de voorbereiding op incidenten
  • Opstellen van Incident Response Plan (IRP)
  • Aanbod van Incident Response Retainer (IRR) wereldwijd
  • Business Continuity Management voor cyberbeveiliging
  • Ontwikkeling protocol cyberverzekeringsclaims
Melding van cyberincidenten

Beoordeel de mogelijkheden van incidentrapportage en het reactievermogen van uw bedrijf en ontwerp procedures voor incidentrapportage of pas ze aan om te voldoen aan nieuwe wetgeving

Beleid inzake risicoanalyse en beveiliging van informatiesystemen

Ontwikkelen of beoordelen van geschikte risicobeheersystemen die zijn afgestemd op de kaders voor enterprise risk management (ERM).

Beveiliging in netwerk- en informatiesystemen

Jaag systematisch op generieke en gerichte bedreigingen binnen het netwerk en controleer het deep en dark web op bedreigingen en gelekte bedrijfsgegevens.

Beleid en procedures om de effectiviteit van risicobeheer te beoordelen

Ontwikkel kaders voor risicobeoordelingen op organisatieniveau in combinatie met scenariospecifieke stresstests om de algehele volwassenheid en striktheid van het risicobeheer te onderzoeken.

NIS2: Vier vragen die elk bedrijf zichzelf zou moeten stellen

 

 

  1. Wordt mijn bedrijf beïnvloed door NIS2?
  2. Is ons risicomanagement op het juiste niveau voor NIS2?
  3. Kan mijn bedrijf cybersecurity-incidenten wel of niet goed melden?
  4. Hoe staat het met het risicobeheer van de toeleveringsketen van mijn bedrijf als het gaat om cyberbeveiliging?

Aon helpt klanten om de volledige levenscyclus van hun cyberreis te beheren. Onze holistische reeks oplossingen voor cyberrisico's kan naadloos worden geïntegreerd om efficiëntie en transparantie te stimuleren. Ze helpen klanten beter geïnformeerd te zijn om hun activa te beschermen en risico's effectief te beheren. Lees hier hoe Aon's Cyber Loop Model uw organisatie tijdens haar reis naar duurzame cyberweerbaarheid kan ondersteunen.

Klik hier voor meer informatie over onze NIS2 BOARD-bestuurderstraining en GAP-analyse.

 

Contactinformatie

Als u meer wilt weten over hoe Aon uw organisatie kan helpen bij de voorbereiding op NIS2, vul dan onderstaand formulier in. Een lid van ons team neemt dan binnenkort contact met u op.