Voorbereiden op NIS2

VOORBEREIDEN OP NIS2
‍Een gestructureerde aanpak is cruciaal. De implementatie van NIS2 vraagt niet alleen om technische aanpassingen, maar ook om duidelijke processen en samenwerking tussenafdelingen. ICT- en securityteams moeten voorbereid zijn op nieuwe protocollen en controles, terwijl bestuurders moeten zorgen voor strategische besluitvorming en governance.

“Bestuurders moeten zich gaan realiseren dat informatiemanagement een volwaardige directieportefeuille dient te zijn en geen IT-aangelegenheid meer is,” benadrukt Edward Clarenbach Rispens, Bauhaus (rechts op de foto)
‍

WAT GAAT ER ALLEMAAL VERANDEREN?
De invoering van de nieuwe NIS2-richtlijn legt een fundamentele verschuiving op in hoe het bestuur van organisaties om moet gaan met hun cybersecurity risicobeheer en meldingsplichten. Volgens de nieuwe richtlijn zullen bestuurders persoonlijk aansprakelijk worden voor de digitale veiligheid binnen hun organisatie, en dat impliceert best veel. 


STRENGE STRAFFEN EN HOGE BOETES
Bestuurders dragen een directe verantwoordelijkheid voorde naleving van de NIS2-richtlijn. Wanneer organisaties onvoldoende maatregelen nemen, kunnen zij persoonlijk aansprakelijk worden gesteld. Dit kan leiden tot strenge sancties, zoals boetes, bindende instructies, opschorting van activiteiten of zelfs een verbod op het bekleden van managementfuncties.

De sector waar een organisatie actief is en de grootte van die organisatie bepaalt of deze organisatie onder de NIS2-richtlijn valt, en daarmee ook onder de Cyberbeveiligingswet. Daarnaast zullen meer sectoren onder deze regelgeving vallen, zoals de gezondheidszorg, digitale infrastructuur, transport en overheidsdiensten.

De richtlijn introduceert strengere beveiligingsverplichtingen, waardoor organisaties aantoonbaar cybersecurity-maatregelen moeten implementeren, zoals risicoanalyses, incidentbeheer en supply chain security. Bovendien geldt een strikte meldingsplicht: cyberincidenten moeten binnen 24 uur na ontdekking worden gemeld aan de nationale toezichthouder en het Computer Security Incident Response Team (CSIRT), gevolgd door een gedetailleerd rapport binnen 72 uur met een volledige analyse van het incident.

‍GEFASEERDE MELDPLICHT
‍De meldplicht bestaat uit vier fasen:
- Vroegtijdige waarschuwing (binnen 24 uur)
- Melding met beoordeling van ernst en gevolgen(binnen 72 uur)
- Update op verzoek van CSIRT of bevoegde autoriteit
- Eindrapport (binnen een maand na de melding)

‍WAAR TE BEGINNEN
Wat wordt er precies van een bestuurder of manager verwacht? En hoe zorg je ervoor dat een organisatie compliant is én blijft? ISO27001, NIST, ISAE3402, SOC2, NEN – de wereld van informatiebeveiliging staat vol met normenkaders. Met strengere privacywetgevingen de komst van NIS2 zijn deze niet langer slechts ‘best practices’, maar wettelijke verplichtingen waar organisaties aan moeten voldoen.

"Cybersecurity is geen IT-kwestie meer, maar een directieverantwoordelijkheid. Governance en strategische besluitvorming zijn essentieel om risico’s te minimaliseren." – Nimal Lems, Bauhaus

Veel organisaties hebben al security officers, risicoanalyses en audits, maar toch ontbreekt er nog vaak een overkoepelend gevoel van controle. Een veel gehoorde uitspraak is: "Wij geven elk jaar meer uit aan informatiebeveiliging, maar ik heb niet het gevoel dat we echt grip hebben. Wat doen ze eigenlijk bij IT?"

Als je wil weten of jouw organisatie op het gebied van informatiebeveiliging in control is, is het verstandig om te starten met een Risk Assessment. Want de enige manier om dit echt te weten, is door dit te meten. Hoe gaat zoiets in z’n werk?


RISK ASSESSMENT
Een goede voorbereiding op NIS2 begint met een grondige Risk Assessment en een Risk Control Planning, waarin beheersmaatregelen worden vastgelegd. Bij Bauhaus Artitech hanteren we daarvoor een holistische aanpak waarin we niet alleen kijken naar processen, stakeholders en technologie, maar vooral ook naar de toegevoegde waarde van uw organisatie. Toegevoegde waarde is datgene wat een organisatie wil leveren aan anderen of aan zichzelf – het vormt het bestaansrecht van de organisatie. Risk Management richt zich op het analyseren van informatierisico’s en hun impact op de toegevoegde waarde, zodat deze effectief beheerst kunnen worden.

Kort gezegd, wij brengen eerst alle risico’s rondom de toegevoegde waarde in kaart. Vervolgens analyseren we deze risico’s en stellen we passende beheersmaatregelen op.

Bij Bauhaus Artitech geloven we dat een goed inzicht in risico’s niet alleen de kosten van informatiebeveiliging kan verlagen, maar ook zorgt voor een effectieve implementatie van maatregelen. Zonder deze solide basis blijft een organisatie reactief, wordt risicobeheer onoverzichtelijk en stijgen de kosten onnodig.

HOE KUNNEN WIJ HELPEN?
We hebben veel bedrijven geholpen door hun operationele situatie in kaart te brengen. Dit doen we door vrijblijvend kennis te maken via een gezamenlijke brainstormsessie. Daarnaast bieden we een Risk Assessment aan, waarmee we inzicht geven in de huidige status van hun organisatie en de tactische of strategische stappen die nog nodig zijn om volledig aan de NIS2-eisen te voldoen.

MEER WETEN?
‍Via de onderstaande button kunt u een afspraak met ons maken voor een kennismaking of het doen van een Risk Assessment.