Welkom bij Protify.

We plaatsen conform cookiewetgeving ℹ️ en onze privacy policy alleen strikt-noodzakelijke functionele cookies. 😊

Voor bezoekersanalyse gebruiken we Google Analytics (ook cookieless). Mogen we voor een beter begrip ook enkele Google Analytics analytische cookies plaatsen?

Voldoen aan wet- en regelgeving

Cyberbeveiligingswet (NIS 2)

NIS2 (Network and Information Security 2) is de vernieuwde EU-richtlijn voor cybersecurity, die de oorspronkelijke NIS-richtlijn (2016) vervangt. De NIS2-richtlijn is opgesteld om het niveau van cybersecurity bij leveranciers van essentiële en belangrijke diensten te verhogen, risico’s voor netwerk- en informatiesystemen te mitigeren en de continuïteit van deze diensten zo goed als mogelijk te garanderen.

“Met de komst van NIS2 wordt cybersecurity niet langer een keuze, maar een wettelijke verplichting. Het is essentieel dat organisaties hun digitale weerbaarheid nu op orde brengen om boetes en reputatieschade te voorkomen.”

Tim Kemper
Consultant

Waarom NIS2?

De NIS-2 richtlijn is van toepassing voor organisaties in de sectoren die voldoen aan de eisen m.b.t. aantal medewerkers of omzet/ balanstotaal. Hierbij is een opsplitsing gemaakt tussen ‘essentiële entiteiten’ en ‘belangrijke entiteiten’. De NIS2-richtlijn is van toepassing op de sectoren die al onder de NIS-richtlijn vielen alsook op een aantal nieuwe sectoren. Daarnaast legt NIS2 de focus op de ketenpartners van deze sectoren, waarmee zij informatie uitwisselen.

Aanbieders van essentiële en belangrijke diensten en digitale aanbieders moeten maatregelen nemen om de beveiliging van hun toeleveringsketen te waarborgen. Dit omvat het evalueren van de beveiligingsmaatregelen van leveranciers en het nemen van passende maatregelen om ervoor te zorgen dat de geleverde producten en diensten voldoen aan de beveiligingsvereisten.

De NIS2 richtlijn verplicht essentiële en belangrijke entiteiten om de beveiliging van hun toeleveringsketen te waarborgen, wat betekent dat leveranciers moeten aantonen dat hun digitale beveiliging op orde is.

Ketenverantwoordelijkheid

Essentiële en belangrijke entiteiten die onder de NIS2-richtlijn vallen, worden verantwoordelijk voor de beveiliging van hun toeleveringsketen. Dit betekent dat zij moeten beoordelen welke risico’s hun leveranciers en dienstverleners met zich meebrengen en passende maatregelen nemen om de veiligheid van de gehele keten te waarborgen. Dit geldt logischerwijs alleen voor partijen in de toeleveringsketen die digitale diensten of producten leveren en/ of toegang hebben tot netwerk- of informatiesystemen van de entiteit. ENISA (het Europese agentschap voor cyberbeveiliging) heeft de volgende typen ICT-toeleveranciers gedefinieerd:

– Fabrikanten (leveranciers van hardware)
– System integrators
– ICT-service management (MS(S)P’s).
– Aanbieders van digitale diensten (SaaS, PaaS, IaaS)
– Externe partijen die toegang hebben tot netwerken of systemen (inclusief contractors)
 
De NIS2-richtlijn/ WBNI is dus niet direct van toepassing op de ketenpartners (tenzij zij zelf als essentiële of belangrijke entiteit worden geclassificeerd). Wel kunnen zij vragen verwachten over genomen maatregelen op het gebied van informatiebeveiliging. Hoewel ketenpartners dus niet direct onder NIS2 vallen, is het wel verstandig om proactief te werken aan informatiebeveiliging, bijvoorbeeld door een ISO 27001-gecertificeerd ISMS in te richten.
Dit helpt niet alleen bij nalevingseisen vanuit klanten, maar verhoogt ook de weerbaarheid tegen cyberdreigingen.

Met ISO 27001 invulling geven aan NIS2

Voor zowel direct onder NIS2 vallende entiteiten als hun ketenpartners is het opzetten van een gecertificeerd Information Security Management System (ISMS) een cruciale stap. Een ISO 27001-certificering helpt organisaties om aan te tonen dat hun informatiebeveiliging structureel is ingericht en risico’s effectief worden beheerst. Dit is met de invoering van NIS2 nog belangrijker geworden, omdat essentiële en belangrijke entiteiten verplicht zijn om beveiligingsmaatregelen te nemen en de risico’s binnen hun toeleveringsketen te beheersen. 
 
Ook voor ketenpartners is het inrichten van een gecertificeerd ISMS een belangrijke aanbeveling. Middels dit certificaat kan immers eenvoudiger worden aangetoond dat informatiebeveiliging op een passende wijze is ingericht en risico’s worden gemitigeerd, wat voor kritische en belangrijke entiteiten door NIS2 nog belangrijker wordt. Door het kunnen overleggen van een ISO 27001-certificaat wordt een groot deel van specifieke vragen en leveranciersaudits teruggedrongen. De ISO27001-beheersmaatregelen die je hebt geïmplementeerd, kunnen mogelijk onvoldoende zijn om aan de NIS2-eisen te voldoen. Het is daarom cruciaal om bij de implementatie van je ISMS rekening te houden met alle relevante regelgeving en deze expliciet in de scope op te nemen. Daarnaast is het van belang dat afgenomen producten of diensten (en de hiervoor benodigde processen) onderdeel zijn van het toepassingsgebied van het managementsysteem.
 
Door nu te starten met het opzetten, implementeren en continu verbeteren van een ISO 27001-gecertificeerd ISMS, zorg je ervoor dat jouw organisatie klaar is voor NIS2 én beter bestand is tegen cyberdreigingen.

Voldoet jouw organisatie nog niet aan de Cyberbeveiligingswet?

Door nu te starten met het opzetten, implementeren en continu verbeteren van een ISO 27001-gecertificeerd ISMS, zorg je ervoor dat jouw organisatie klaar is voor NIS2 én beter bestand is tegen cyberdreigingen.

Daarom kies je voor Protify

Met jarenlange ervaring in informatiebeveiliging en compliance weten wij precies wat er komt kijken bij certificering en normimplementatie. We hebben al talloze organisaties begeleid in uiteenlopende sectoren en kennen de praktijk als geen ander. Onze expertise helpt jouw organisatie niet alleen bij het behalen van certificeringen, maar ook bij het structureel verbeteren van beveiligingsprocessen.

Bij Protify geloven we in een persoonlijke aanpak. Onze consultants verdiepen zich in jouw organisatie, begrijpen de uitdagingen en werken nauw met je samen om de beste oplossingen te realiseren. Geen standaardadviezen, maar oprechte betrokkenheid en begeleiding op maat, zodat je altijd verzekerd bent van deskundige ondersteuning.

Informatiebeveiliging en compliance hoeven niet ingewikkeld te zijn. Wij maken de soms complexe normen begrijpelijk en vertalen ze naar heldere, bruikbare leidraden. Zo weet je precies wat nodig is en beschik je over een praktisch en goed werkend managementsysteem dat niet alleen voldoet aan de normen, maar vooral ook waarde toevoegt aan je organisatie.

Geen enkele organisatie is hetzelfde, en dat begrijpen wij als geen ander. Daarom bieden wij geen one-size-fits-all oplossingen, maar kijken we naar wat jouw organisatie écht nodig heeft. Of het nu gaat om organisatiedoelen, processen, risico’s of de implementatie van beheersmaatregelen: wij zorgen voor een aanpak die perfect aansluit op jouw werkwijze en ambities.

Nu aan de slag

Door informatiebeveiliging goed te regelen, win je het vertrouwen van klanten en zakenpartners. Neem contact met ons op voor een vrijblijvende kennismaking.

Begin nu