Voor veel organisaties is het nog onduidelijk wat precies de bedoeling is van NIS2 en wat er allemaal moet gebeuren om eraan te voldoen. Dat ís voor een (groot) deel ook nog onduidelijk! Dat komt omdat de NIS2 een Europese Richtlijn is. Die richtlijn moet eerst worden “vertaald” naar een specifieke wetgeving. En wat daarin komt te staan is op het moment van schrijven nog niet bekend.
Wel biedt de NIS2 richtlijn al wel inzicht in zaken die sowieso gedaan moeten worden. En dat zijn onderwerpen die ook zonder NIS2 een “good practice” zijn om informatiebeveiliging en/of cybersecurity onder controle te krijgen.
Welke activiteiten moet ik uitvoeren?
Risicobeoordeling en -beheer
Organisaties moeten regelmatig hun risico’s beoordelen en passende beveiligingsmaatregelen nemen om deze risico’s te beheren.
Beveiligingsbeleid en -procedures
Het ontwikkelen, implementeren en bijhouden van een intern beveiligingsbeleid en bijbehorende procedures is vereist.
Incidentmanagement
Organisaties moeten procedures opzetten voor de detectie, melding en afhandeling van incidenten.
Meldplicht voor incidenten
Bepaalde incidenten moeten binnen een specifiek tijdsbestek gemeld worden bij de relevante nationale autoriteit.
Herstel- en reactieplannen
Het opstellen van plannen voor herstel na een incident en het testen van deze plannen.
Supply Chain Security
Zorgen voor de beveiliging van de supply chain en het uitvoeren van due diligence bij derde partijen.
Training en bewustwording
Het regelmatig opleiden van personeel over cyberbeveiligingsrisico’s en beste praktijken.
Hoe toon ik dat allemaal aan?
Aantonen hiervan kan met bijvoorbeeld:
Beleidsdocumenten en Procedures
Gedocumenteerd beveiligingsbeleid, risicobeheerprocessen, incidentresponseplannen en supply chain beveiligingsprocedures.
Risico-assessments
Verslagen van uitgevoerde risico-assessments en de maatregelen die zijn genomen om geïdentificeerde risico’s te mitigeren.
Incidentrapporten
Documentatie over beveiligingsincidenten, inclusief de aard van het incident, de getroffen maatregelen en de lessen die zijn geleerd.
Training en Bewustwordingsmateriaal
Bewijs van gegeven trainingen en bewustmakingscampagnes, zoals trainingsmateriaal, deelnamelijsten en evaluaties.
Auditrapporten en Compliance-documentatie
Verslagen van interne en externe audits die de naleving van NIS2-vereisten aantonen, evenals eventuele maatregelen die zijn genomen naar aanleiding van deze audits.
Deze onderwerpen zijn ook gebruikelijk bij het voldoen aan ISO27001, NEN7510, de AVG of de BIO.
Comments are closed