NIS2 - Eisen en Trainingen
Met de goedkeuring van de NIS2 richtlijn is een belangrijke Europese stap gezet op het gebied van een meer uniforme cybersecurity. Het doel van deze nog naar Nederlandse wetgeving te vertalen richtlijn, is om een hoger niveau van gemeenschappelijke beveiliging van netwerk- en informatiesystemen in de hele EU te waarborgen en zo de weerbaarheid tegen cyberdreigingen te vergroten.
Momenteel werken we in Nederland nog met de Wet beveiliging netwerk- en informatiesystemen (Wbni). Zodra het Nederlandse wetsvoorstel is goedgekeurd, vervalt de Wbni en geldt voor een breed scala aan organisaties de nieuwe regels van de NIS2.
Houd er rekening mee dat jouw organisatie eerder wellicht niet onder de Wbni viel, maar wel onder de nieuwe Cyberbeveiligingswet (Cbw). In dat geval is er waarschijnlijk best veel werk aan de winkel. Maar ook als je wel al onder de Wbni valt, verandert er veel.
Op deze pagina krijg je een globaal beeld van de eisen van de NIS2 en welke trainingen je kunnen helpen zo snel mogelijk compliant te zijn.
Valt mijn organisatie onder de NIS2-richtlijn of niet?
Een 100% sluitend antwoord hierop is pas te geven zodra de Nederlandse wet is goedgekeurd. In de tussentijd geeft de NIS2 (met name in bijlage I en II) zelf wel al enige duidelijkheid. Ook als toeleverancier van een ‘NIS2 organisatie’ is de impact groot, zelfs al val je zelf niet direct onder de noemer ‘essentiële’ of ‘belangrijke’ entiteit.
De Rijksoverheid heeft een tool ontwikkeld waarmee je een zelf-evaluatie kunt doen, je vindt deze hier: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/
Bestuurlijke aansprakelijkheid
Een belangrijke verandering met consequenties is de bestuurlijke aansprakelijkheid in de NIS2. Doel hiervan is ervoor te zorgen dat cybersecurity prioriteit krijgt op het hoogste niveau van organisaties die onder de NIS2-richtlijn vallen.
Leidinggevenden van organisaties worden persoonlijk verantwoordelijk gehouden voor de naleving van de cybersecurityvereisten die de richtlijn stelt. Dit betekent dat bedrijfsleiders, zoals CEO's en bestuursleden, proactief betrokken moeten zijn bij de implementatie en het handhaven van adequate cybersecuritymaatregelen binnen hun organisatie.
Om hieraan te voldoen is één van de eisen van NIS2 dat deze leidinggevenden verplicht trainingen volgen om (zoals NIS2 letterlijk aangeeft):
“Voldoende kennis en vaardigheden te verwerven om risico’s te kunnen identificeren en risicobeheerspraktijken op het gebied van cyberbeveiliging en de gevolgen ervan voor de diensten die door de entiteit worden verleend, te kunnen beoordelen.”
TSTC heeft diverse oplossingen die je helpen aan deze eis te voldoen. Vaak is maatwerk in een training/workshop op locatie gewenst, waarin bijvoorbeeld een compleet managementteam wordt bijgepraat over informatiebeveiliging, specifieke risico’s, maatregelen en de omgang met incidenten. Neem gerust contact met ons op om de mogelijkheden te bespreken.
Via ons open rooster volg je ook de 2-daagse training Managing NIS2 - Certified NIS2 Professional (CNIS2), waarin je uitgebreid kennismaakt met de NIS2 en alle bijbehorende eisen. Deze training wordt afgesloten met een begeleide GAP-analyse waarin je inzichtelijk krijgt waar nog actie ondernomen moet worden.
Welke verplichtingen schrijft de NIS2-richtlijn voor?
De NIS2-richtlijn schrijft vier verplichtingen voor:
- Registratieplicht
- Zorgplicht
- Meldplicht
- Toezicht
Met name de Zorgplicht en Meldplicht bevatten eisen waarbij onze trainingen je kunnen helpen.
Zorgplicht
Essentiële en belangrijke entiteiten moeten maatregelen nemen om hun netwerk- en informatiesystemen tegen incidenten te beschermen. Hetzelfde geldt voor de fysieke omgeving waarin de systemen zich bevinden.
Hieronder volgen een aantal maatregelen en bijpassende trainingen:
1. Een risicoanalyse en beveiliging van informatiesystemen
- NIS2 Directive Lead Implementer + GAP Analyse
- ISO 27005 Certified Risk Manager
- ISO 27001 Lead Implementer
- Certified BIO Professional - Foundation
- Certified BIO Professional - Practitioner
2. (Beleid en procedures over) incidentenbehandeling
- ECIH - Certified Incident Handler
- CSA - Certified SOC Analyst
- CISM - Certified Information Security Manager
3. Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen
4. Beveiliging van de toeleveranciersketen
- CSSLP - Certified Secure Software Lifecycle Professional
- CCSP - Certified Cloud Security Professional
5. Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden
6. Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen
- CISM - Certified Information Security Manager
- CCISO - Certified Chief Information Security Officer
- Lead Cybersecurity Manager
7. Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging
8. Beleid en procedures over het gebruik van cryptografie en encryptie
9. Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van activa
10. Het gebruik van multifactor-authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
Meldplicht
De NIS2-richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. Hier vloeien een aantal verantwoordelijkheden uit voort die te maken hebben met incident management/handling en monitoring processen:
1. Monitoring - worden incidenten gedetecteerd?
2. Incident Management / Handling - ligt er een plan klaar hoe te handelen bij incidenten?
3. Threat Intelligence - op de hoogte zijn van nieuwe bedreigingen, weten waarop alert te zijn
4. Pentesting - Incidenten voorkomen