Academie thuis
Blogs
Op wie is NIS2 van toepassing? Toepassingsgebied en vereiste beveiligingsmaatregelen uitgelegd.
Onderdeel van ISO 27001-collectie
Onderdeel van NIS2-collectie

Op wie is NIS2 van toepassing? Toepassingsgebied en vereiste beveiligingsmaatregelen uitgelegd.

ISO 27001 collectie
Op wie is NIS2 van toepassing? Toepassingsgebied en vereiste beveiligingsmaatregelen uitgelegd.
NIS2-verzameling
Op wie is NIS2 van toepassing? Toepassingsgebied en vereiste beveiligingsmaatregelen uitgelegd.
Cyberday blog
Op wie is NIS2 van toepassing? Toepassingsgebied en vereiste beveiligingsmaatregelen uitgelegd.

Je bent nu bij het tweede deel van onze driedelige blogserie over de NIS2-richtlijn. Bekijk het eerste deel over de achtergrond en redenen achter de NIS2-richtlijn.

Zoals in het vorige deel al is gezegd, brengt NIS2 een aantal grote veranderingen met zich mee:

Welke beveiligingseisen staan er in NIS2?

Hoewel NIS2 grotendeels is gebaseerd op de oorspronkelijke NIS-richtlijn, brengt de nieuwe richtlijn een aantal grote veranderingen met zich mee. De NIS2-richtlijn introduceert een reeks strengere beveiligingseisen. De flexibiliteit om de naleving van deze vereisten aan te passen is verwijderd, omdat de oorspronkelijke NIS kwetsbaarheden toestond door de buitensporige flexibiliteit. NIS2 zorgt ervoor dat er geen ruimte is voor dergelijke kwetsbaarheden, omdat het duidelijk de regels schetst waaraan iedereen zich moet houden.

NIS2 geeft 13 hoofdthema's voor informatiebeveiliging die organisaties moeten overwegen en implementeren in hun eigen informatiebeveiligingsplannen. Hier vindt u enkele van de meest relevante selecties. U kunt het volledige NIS2-rapport vinden op Cyberday, dat ook geprioriteerde aanbevelingen bevat voor maatregelen die overeenkomen met verschillende vereisten.

Risicobeoordeling en -beheer (21.2.a)

De organisatie moet duidelijk gedefinieerde procedures hebben voor het beheren van risico's voor informatiebeveiliging, die worden gebruikt om te beoordelen of de door de organisatie geïmplementeerde maatregelen voor informatiebeveiliging afdoende zijn en om de belangrijkste gebieden voor ontwikkeling te identificeren.

Opsporen, afhandelen en rapporteren van incidenten (21.2.b & 23)

Wanneer essentiële of belangrijke entiteiten zich bewust worden van een belangrijk incident, moeten ze onmiddellijk binnen 24 uur een vroegtijdige waarschuwing indienen. Dit moet worden gevolgd door een incidentmelding, die onverwijld en binnen 72 uur na het bekend worden van het incident moet worden ingediend. De incidentmelding moet een bijgewerkte beoordeling van het incident bevatten, inclusief ernst, impact en indicatoren van compromittering, indien beschikbaar. Binnen een maand na de incidentmelding moet een eindrapport worden ingediend.

Cyberhygiëne en -training voor personeel (21.2.g)

Essentiële en belangrijke operators moeten zorgen voor het informatiebeveiligingsbewustzijn van het personeel door middel van begeleiding en training. Het proces moet onderwerpen behandelen die belangrijk zijn voor het personeel, zoals veilig gebruik van apparaten, software-updates, veilig werken op afstand en identiteits- en toegangsbeheer.

Veiligheid van de toeleveringsketen (21.2.d & 21.3)

Beveiliging van de toeleveringsketen omvat het onderzoeken van de relaties tussen organisatie en leveranciers vanuit het perspectief van informatiebeveiliging. Welke partners zijn kritisch vanuit het oogpunt van het leveren van je eigen diensten? Wat voor soort informatiebeveiligingseisen zijn er aan hen gesteld en welk bewijs is er dat hieraan is voldaan?

In NIS2 zijn organisaties verplicht om duidelijker dan voorheen te investeren in dit soort ketenanalyses en in het doorgeven van informatiebeveiligingseisen aan belangrijke partners.

Gegevensencryptie (21.2.h)

Om veilige openbare elektronische communicatie te garanderen, is het bevorderen van end-to-endencryptie en datacentrische beveiligingsconcepten cruciaal. Aanbieders kunnen worden verplicht om end-to-endencryptie te implementeren met inachtneming van veiligheidsbelangen, openbare veiligheid en verantwoordelijkheden op het gebied van wetshandhaving. Het behoud van sterke encryptie is cruciaal voor de bescherming van gegevens, privacy en communicatiebeveiliging.

Een cyberbeveiligingsplan hebben

In het algemeen hebben organisaties een plan nodig om alle bovenstaande onderwerpen te dekken en te bewaken. NIS2 stelt ook dat de beheersorganen van organisaties bijvoorbeeld de risicobeheersmaatregelen moeten goedkeuren en toezicht moeten houden op de implementatie van cyberbeveiliging in het algemeen. Dit vereist een meer systematische planning en hulpmiddelen voor cyberveiligheid.

Crisisbeheer

Elke lidstaat moet een of meer bevoegde autoriteiten aanstellen of oprichten die verantwoordelijk zijn voor het afhandelen van ernstige cyberbeveiligingsincidenten en noodsituaties (de zogenaamde cybercrisisbeheerautoriteiten). Het is de verantwoordelijkheid van de lidstaten om te garanderen dat deze autoriteiten over voldoende middelen beschikken om de aan hen toegewezen taken effectief en efficiënt uit te voeren.

Is NIS2 van toepassing op uw organisatie?

NIS2 zal een bredere reeks sectoren omvatten (hieronder opgesomd) dan de oorspronkelijke NIS-richtlijn. De sectoren zijn onderverdeeld in essentiële en belangrijke entiteiten. Het verschil tussen deze twee is dat een verstoring van de dienstverlening binnen de essentiële groep naar verwachting ernstige gevolgen zal hebben voor de economie en veiligheid van een land.

Het verschil tussen sectoren in de oorspronkelijke NIS-richtlijn en NIS2.

In tegenstelling tot de oorspronkelijke NIS en de bijbehorende OES'en, zal NIS2 een andere aanpak gebruiken. Er wordt een "size-cap" ingevoerd, wat betekent dat entiteiten in de volgende sectoren die door de EU als middelgroot of groot worden gecategoriseerd (meer dan 50 werknemers en/of een jaaromzet van meer dan 10 miljoen euro), onder de NIS2 zullen vallen. Entiteiten die in Richtlijn (EU) 2022/2557 als kritiek worden gedefinieerd, zullen echter ook onder de NIS2 vallen, ondanks hun omvang of omzet. Kritieke entiteiten zijn onder andere de hieronder genoemde essentiële entiteiten en de productie, verwerking en distributie van levensmiddelen.

Essentiële entiteiten

  • Energie
  • Transport
  • Bank
  • Infrastructuren voor financiële markten
  • Gezondheidszorg
  • Drinkwater
  • Afvalwater
  • Digitale infrastructuur
    - Aanbieders van vertrouwensdiensten
    - Registers van topleveldomeinnamen
    - Aanbieders van openbare elektronische communicatienetwerken
  • ICT-dienstenbeheer (B2B)
  • Overheidsinstellingen
  • Ruimte

Belangrijke entiteiten

  • Post- en koeriersdiensten
  • Afvalbeheer
  • Vervaardiging, productie en distributie van chemicaliën
  • Productie, verwerking en distributie van voedsel
  • Vervaardiging van medische apparatuur, elektronische producten en transport
  • Aanbieders van online marktplaatsen, online zoekmachines en platforms voor sociale netwerkdiensten
  • Onderzoeksinstellingen

De richtlijn is ook van toepassing op entiteiten die aan de volgende criteria voldoen:

  • Enige verleners van een dienst die essentieel is voor de instandhouding van kritieke maatschappelijke of economische activiteiten in een lidstaat
  • Een onderbreking van hun dienstverlening zou een aanzienlijke impact kunnen hebben op de openbare veiligheid, de openbare beveiliging of de volksgezondheid
  • Verstoring van hun dienstverlening kan leiden tot aanzienlijke systeemrisico's, vooral voor sectoren met potentiële grensoverschrijdende gevolgen.
  • Kritische entiteiten met nationaal of regionaal belang binnen een specifieke sector of dienst, of onderling verbonden sectoren binnen een lidstaat
  • Openbare bestuurlijke entiteiten op centraal of regionaal niveau die diensten verlenen met een aanzienlijke impact op kritieke maatschappelijke of economische activiteiten na een op risico gebaseerde beoordeling

De lidstaten hebben de mogelijkheid om entiteiten van het openbaar bestuur op lokaal niveau en onderwijsinstellingen, met name instellingen die kritisch onderzoek verrichten, binnen de werkingssfeer van deze richtlijn te brengen.

Toezicht en handhaving

Wat betreft het toezicht op essentiële en belangrijke entiteiten in het kader van de NIS2-richtlijn, zijn er enkele belangrijke verschillen in de aanpak.

Voor essentiële entiteiten moeten regelgevers en autoriteiten ervoor zorgen dat de getroffen maatregelen sterk genoeg zijn om de risico's effectief te beperken en de veiligheid van essentiële diensten te garanderen. Het doel is veerkrachtig toezicht dat fungeert als een barrière tegen mogelijke verstoringen of storingen.

Voor belangrijke entiteiten ligt de nadruk op het monitoren en aanpakken van incidenten op basis van bewijs of informatie die wijst op niet-naleving. Regelgevers moeten de activiteiten van belangrijke entiteiten in de gaten houden en passende maatregelen nemen wanneer zich incidenten voordoen. De focus ligt op het snel detecteren van problemen om de soepele werking van belangrijke diensten te behouden.

Hoewel het niveau van toezicht kan verschillen, is het uiteindelijke doel om zowel essentiële als belangrijke entiteiten te beschermen en de algemene veiligheid van de digitale infrastructuur te handhaven. De specifieke vereisten en toezichtsmaatregelen voor elke categorie zijn afgestemd op het kritieke karakter en de potentiële impact van hun diensten, zodat de juiste beveiligingsmaatregelen worden genomen en elke niet-naleving goed wordt aangepakt.

Als een exploitant niet aan de eisen voldoet, kan een administratieve boete worden opgelegd van maximaal 10 miljoen euro of 2% van de totale wereldwijde jaaromzet. In de ernstigste gevallen kunnen boetes tot 20 miljoen euro of 4% van de totale wereldwijde jaaromzet worden opgelegd.

Dit was het tweede deel van onze driedelige blogserie over de NIS2-richtlijn. Lees het laatste deel NIS2: word compliant met Cyberday

Vragen en feedback

Heb je nog vragen, wil je een ander hulpartikel of wil je feedback geven? Neem dan contact op met ons team via team@cyberday.ai of de chatbox rechtsonder.

Geschreven door
Matti Lindfors
23.8.2023
@
LinkedIn

Inhoud van het artikel

Andere artikelen over hetzelfde onderwerp

Bekijk de volledige ISO 27001-collectie
See full NIS2 collection

Artikel delen

Andere vergelijkbare content van Academy

Blogs

Most important documents in ISO 27001 certification audit

The ISO 27001 standard does specifically define some key documents, which need to be gathered together and be easily shareable e.g. for the auditor. In this blog, we'll present these most important documents for an ISO 27001 certification audit.
30.1.2025

NIS2 & nationale implementatie: welke lokale NIS2-wetten zijn beschikbaar in Cyberday?

De EU-lidstaten moeten NIS2 opnemen in hun nationale wetgeving. Belangrijke nationale beslissingen zijn onder andere het definiëren van lokale autoriteiten, controlemechanismen en het afstemmen van regelgeving op specifieke behoeften.
23.1.2025

ISO 27001 certificering: Wat gebeurt er tijdens de certificeringsaudit?

Deze blogpost geeft een algemene inleiding tot informatiebeveiligingsaudits en een gedetailleerde doorloop van het ISO 27001-certificeringsauditproces.
22.1.2025

Begin vandaag nog

Begin gratis, in je vertrouwde Teams omgeving.
Heb je eerst nog vragen, boek dan een afspraak met ons.

Start een gratis proefperiode van 14 dagen
Boek een vergadering
Hoe werkt het?
SamenvattingBeveiligingstaken en -zekerheidDocumentatie werkstromenWerknemer richtlijnenRapportage sjablonen
Gebruikte gevallen
Per kaderAlle kadersISO 27001NIS2-richtlijnNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Op methodeCyberrisicobeheerBewustzijn van werknemersRapportage nalevingControlebeheerBeheer van bedrijfsmiddelenDynamische beleidsdocumentenPrivacybeheer
Middelen
AcademieWebinarsBlogHulp artikelenVideo cursussenInhoud bibliotheekWekelijkse nieuwsverteertInschrijven voor AcademieLaat een beoordeling achterPartnerprogrammaTeamGebruiksvoorwaardenPrivacybeleid
Neem contact met ons op
+358 10 231 6010
team@cyberday.ai
App werkt in:
In Finland bekend als Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finland
Cyberday.ai - Verbeter en certificeer uw cyberveiligheid