De NIS2 richtlijn zal heel wat betekenen voor veel organisaties. Deze “Network and Information Security” Directive is een Europese Unie-brede wetgeving inzake cybersecurity en heeft als doel een hoog gemeenschappelijk niveau van cyberbeveiliging te bereiken. Hieronder volgt een opsomming van de belangrijkste onderdelen om een zo goed mogelijk beeld te geven van wat de NIS2 is en te bepalen wat de impact voor jouw organisatie kan zijn.

Wat is de impact van de NIS2-richtlijn voor de zorg en bestuurders?

Op dit moment zijn er nog geen zorgaanbieders aangemerkt als vitaal, omdat uitval niet automatisch leidt tot grote maatschappelijke schade. Met de komst van de NIS2-richtlijn zullen een groot aantal zorgaanbieders wel als vitaal worden aangemerkt en zal de wetgeving dus van toepassing zijn. In de komende maanden gaat Nederland aan de slag om deze richtlijn te vertalen naar nieuwe en aangepaste wetgeving.

Bestuurders worden verantwoordelijk en er kunnen boetes worden uitgedeeld bij nalatigheid en het niet acteren op waarschuwingen. Deze boetes zullen naar alle waarschijnlijkheid vergelijkbaar zijn met de boetes die uitgedeeld worden bij het overtreden van de AVG (Algemene verordening gegevensbescherming), omdat de uitgangspunten van de richtlijnen hetzelfde zijn. De exacte hoogte van de boetes gaat de Nederlandse staat nog bepalen.

Met de komst van de NIS2-richtlijn zullen er ook meer bevoegdheden komen voor de nationale controlerende instanties zoals de Autoriteit persoonsgegevens (AP).

Wat kun je nu al doen?

Het implementeren van de nieuwe richtlijn zal veel voeten in de aarde hebben. Om deze reden is het verstandig om op tijd te beginnen met het treffen van voorbereidingen. Zorg ervoor dat je als organisatie compliant bent aan certificeringen zoals de ISO27001 en NEN7510. Daarnaast kun je nu al onderzoeken wat de GAP is tussen de op dit moment gepubliceerde minimale maatregelen vanuit de richtlijn in relatie tot je eigen organisatie. Op basis van zo’n GAP-analyse kun je de risico’s inventariseren op jouw netwerk- en informatiesystemen en op basis daarvan prioriteit bepalen en maatregelen treffen, zoals het organiseren van de continuïteit en het invoeren van multifactorauthenticatie (MFA).

Verplichtingen voor MSP's

Managed Service Providers (MSP's) zullen als kritische dienstverlener aangemerkt worden en voor Detron brengt dit dan een aantal verplichtingen met zich mee. De belangrijkste onderdelen zijn:

  • De Zorgplicht: de NIS2-richtlijn bevat een zorgplicht die entiteiten verplicht zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.
  • De Meldplicht: de NIS2-richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT). Dit team kan vervolgens hulp- en bijstand leveren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.
  • En Toezicht: organisaties die onder de richtlijn vallen komen ook onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Momenteel wordt uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.

Detron als betrokken partner

Nederland kent een aantal Information Sharing and Analysis Centres (ISAC’s). In deze overlegvorm over cybersecurity wisselen organisaties uit dezelfde vitale sectoren gevoelige en vertrouwelijke informatie uit over incidenten, dreigingen, kwetsbaarheden en maatregelen. Detron neemt deel aan het MSP-ISAC en heeft als doel om een digitaal veilig internet te creëren. Ook de NIS2 is hier een onderdeel van. Wij dragen hieraan bij door onder andere de verbinding te zijn tussen de MSP’s en de andere samenwerkingspartners en onze kennis te delen.

Kwaliteit en openheid staan bij Detron hoog in het vaandel

In onze jaarverslagen geven we graag openheid van zaken. We nemen je mee in onze ideeën, strategie en visie en tot op de laatste euro nauwkeurig lees je wat onze resultaten zijn. Ook kwaliteit, milieu en veiligheid nemen we zeer serieus. Daarom laten we onze ISO 9001, ISO 14001, ISO 27001 en NEN 7510 certificering én ons ISAE 3000A type 2 | SOC2 assurance rapport jaarlijks onafhankelijk toetsen. Een extra garantie voor kwaliteit!

Jaarverslagen

In onze jaarverslagen geven we graag openheid van zaken. We nemen je mee in onze ideeën, strategie en visie en tot op de laatste euro nauwkeurig lees je wat de resultaten van onze inspanningen zijn.

Download jaarverslagen
Certificeringen

Bij Detron nemen wij kwaliteit, milieu en veiligheid zeer serieus. Daarom laten we onze certificering jaarlijks onafhankelijk toetsen. Een extra garantie voor kwaliteit!

Bekijk certificeringen