NIS2 – Drie redenen waarom het voor jouw organisatie geen big deal hoeft te zijn
NIS2 komt eraan. Dat is een gegeven voor iedereen die zich bezighoudt met cybersecurity in Europa. Toch zijn nog lang niet alle organisaties zich bewust van wat NIS2 is en hoe het hen kan beïnvloeden. Gelukkig is er veel informatie online te vinden over de impact en reikwijdte van NIS2. Vaak wordt benadrukt dat NIS2 groot, veelomvattend en impactvol kan zijn voor organisaties. Net als bij de GDPR-richtlijn wordt er veel aandacht besteed aan sancties voor non-compliance. Maar er zijn redenen waarom NIS2 voor jouw organisatie helemaal geen big deal hoeft te zijn.
-
Jouw organisatie is niet werkzaam in een kritieke sector
NIS2 is de opvolger van NIS, het Network and Information Security directive van de Europese Unie. NIS had al een aantal kritieke sectoren benoemd, en het aantal is in NIS2 fors uitgebreid. NIS2 is van toepassing op: energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten, overheid, ruimtevaart, post- en koeriersdiensten, afvalstoffenbeheer, chemische stoffen, levensmiddelen, vervaardiging, digitale aanbieders en onderzoeksorganisaties. Er wordt onderscheid gemaakt tussen essentiële entiteiten en belangrijke entiteiten, met verschil in toezicht en handhaving. Dit hangt vooral af van de omvang van de organisatie en/of financiële parameters.
Is dit het dan? Je bent niet werkzaam in een van bovenstaande sectoren en dus is NIS2 niet van toepassing? Dat is nog maar de vraag. De reikwijdte van kritieke sectoren is zo breed dat er weinig sectoren zijn die niet direct geraakt worden. Feitelijk bestrijken de kritieke sectoren bijna alle industriële en dienstverlenende activiteiten. Dit is logisch als je kijkt naar het doel van NIS2: vrijwel alle processen bevatten informatietechnologie. Een grote uitzondering is dat landen hun overheden, landelijk of regionaal, kunnen uitsluiten van NIS2 compliance.
-
Jouw organisatie is heel klein
NIS2 stelt, om administratieve en financiële lasten te beperken, een minimum aan omzet en/of aantal werknemers. Deze grenzen zijn een omzet (en/of balanstotaal) van 10 miljoen euro op jaarbasis en/of een minimum van 50 werknemers.
Is dit het dan? Je hebt 49 medewerkers, dus je hoeft niet aan NIS2 te voldoen? Dat is nog maar de vraag. Binnen NIS2 moet je bijvoorbeeld de ketenrisico’s in kaart brengen. Het kan zijn dat een organisatie met 49 werknemers een dienst levert aan een organisatie met 250 medewerkers. In dat geval kan de grotere organisatie bewijs van NIS2 compliance verlangen, iets wat we al kennen van ISO27001. Een ander scenario is dat een organisatie met 49 medewerkers een softwarecomponent levert die onderdeel is van een kritieke keten. Ook dan kan NIS2 niet worden genegeerd.
-
Je hebt je security uitstekend op orde
Cyberveiligheid en cyberveerkracht (cyber resilience) zijn voor veel organisaties al een speerpunt geworden, mede “dankzij” de harde lessen van cyberincidenten. Veel organisaties streven naar ISO27001-certificering om te laten zien dat ze informatiebeveiliging serieus nemen en hebben een CISO aangesteld.
Is dit het dan? Je hebt een CISO, mandaat (en budget) gegeven, ISO27001 ingericht en technische maatregelen genomen. Je denkt dat je het uitstekend voor elkaar hebt, dus NIS2 compliance wordt een extra rapportje naar een overheidsorganisatie. Dat is nog maar de vraag.
NIS2 heeft een risicogedreven aanpak. Dit betekent dat je risicomanagement moet inrichten. NIS2 vindt het belangrijk dat risicobeheersmaatregelen op hoog niveau binnen de organisatie worden belegd (lees: op bestuursniveau). Dit betekent dat directies, raden van bestuur en commissarissen eigenaarschap van risico’s moeten nemen, maatregelen om risico’s te beheren goedkeuren en toezien op de implementatie. Ook moeten ze voldoende kennis en vaardigheden hebben om hun verantwoordelijkheden te vervullen. Dit gaat ver, aangezien er ook wordt gesproken over persoonlijke aansprakelijkheid bij niet-naleving van de richtlijn. De implicaties hiervan zijn nog onbekend, omdat de uitvoeringswet in voorbereiding is. Andere aandachtspunten zijn beveiliging van de toeleveringsketen en het melden en opvolgen van incidenten.
Hoe nu verder?
De titel van dit stukje was uiteraard niet serieus bedoeld, NIS2 is een big deal. NIS2 raakt aan alle processen binnen een organisatie die informatie verwerken. NIS2 raakt aan alle interacties die een organisatie met externe entiteiten aangaat. NIS2 vraagt op bestuursniveau eigenaarschap van risico’s. Dat vraagt in eerste instantie bewustwording. De vraagstukken die de implementatie van NIS2 opwerpt zijn niet technisch van aard, maar organisatorisch. Een gestructureerde aanpak helpt. Een stappenplan biedt duidelijkheid. Sommige van de genoemde onderwerpen kunnen veel tijd kosten om te implementeren, kunnen specialismes vereisen die niet in de organisatie aanwezig zijn en budgetten vereisen die vrijgemaakt moeten worden.
SimplifyNow helpt.
NIS2 heeft als uitgangspunt een risicogedreven aanpak. SimplifyNow kan je helpen je risico’s in kaart te brengen, op basis van een dreigingsanalyse, het NIST CSF 2.0 framework en mappings naar ISO27001-controls. Desgewenst kan dit vertaald worden in een roadmap met onderliggende business case.
NIS2 vraagt identiteits- en toegangsbeheer als hygiënemaatregel. SimplifyNow kan je met raad en daad bijstaan bij advies- en implementatievraagstukken rondom IAM en PAM.
NIS2 vraagt regievoering van informatiebeveiliging. SimplifyNow kan je helpen bij de inrichting van de regievoerende kant van informatiebeveiliging, zowel op projectbasis als middels een beheerde regiedienst.
Leren van onze experts?
We delen onze kennis graag met je. Meld je aan voor onze