Het Legian NIS2 actieplan
Legian neemt je stap voor stap mee door de vereisten van de cyberbeveiligingswet.
Aan welke NIS2 verplichtingen moet jouw organisatie voldoen?
Ontdek wat jouw organisatie moet doen rond NIS2/Cbw met het Legian actieplan.
Voldoen aan NIS2: Dit zijn de vereisten en stappen om compliant te worden.
Om digitale en economische weerbaarheid te vergroten en maatschappelijke ontwrichting te voorkomen, heeft de EU de NIS2-richtlijn aangenomen. Deze stelt strengere eisen dan haar voorganger NIS (in Nederland geïmplementeerd als Wbni) en geldt voor meer sectoren. In Nederland wordt NIS2 omgezet in de Cyberbeveiligingswet (Cbw). De overheid adviseert om niet te wachten tot de wet ingaat (verwacht: Q3 2025), maar om nu al aan de slag te gaan zodat je op tijd bent voorbereid.
NIS2 vragen beantwoord
Zorgplicht: Entiteiten zijn verplicht een risicobeoordeling uit te voeren en passende maatregelen te nemen voor de beveiliging van hun netwerk- en informatiesystemen, evenals het zorgdragen voor de leveranciersketen.
Registratieplicht: Entiteiten zijn verplicht zich te registreren in het entiteitenregister, waarmee een Europees overzicht van het aantal entiteiten onder NIS2 wordt gecreëerd.
Meldplicht: Entiteiten moeten significante incidenten binnen 24 uur melden aan het Computer Security Incident Response Team (CSIRT) en de toezichthouder via een centraal meldpunt van het NCSC.
Daarnaast is er de verplichting voor bestuurders om trainingen te volgen om de genomen maatregelen goed te keuren en toezicht te houden.
BCM: Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upmanagement en beheer van noodvoorzieningsprocessen.
Incident Response: Beleid en procedures om incidenten te voorkomen, en indien deze zich voordoen, zo adequaat mogelijk te reageren en de impact voor de afnemers te beperken.
Toeleveranciers: Zorgdragen voor de informatiebeveiliging van de toeleveranciersketen en, in geval van een incident, dit bij de toeleverancier(s)
te melden (meldplicht).
Toegangsbeleid: Maatregelen met betrekking tot de rollen en rechten van medewerkers (zowel voor assets als fysiek).
Cryptografie: Maatregelen die (de informatie van) data verbergen/codeeren, zodat het enkel gelezen kan worden door de ontvanger.
Multifactorauthenticatie: Maatregel waarbij meerdere verificatiefactoren worden gebruikt om de identiteit van een gebruiker te bevestigen.
De toezichthouders kunnen boetes opleggen indien er niet wordt voldaan aan de NIS2/Cyberbeveiligingswet. De boetes kunnen oplopen tot:
- 10 miljoen euro of 2% van de wereldwijde omzet (afhankelijk van welk bedrag het hoogste is) voor essentiële entiteiten.
- 7 miljoen euro of 2% van de wereldwijde omzet (afhankelijk van welk bedrag het hoogste is) voor belangrijke entiteiten.
Zeker. Sterker nog, de overheid adviseert organisaties om niet te wachten tot de wet daadwerkelijk van kracht wordt, maar nu al aan de slag te gaan.
Ook als je niet onder de NIS2-richtlijn valt, blijft digitale weerbaarheid essentieel. Cyberdreigingen stoppen niet bij de wettelijke grens. Legian raadt daarom aan om minimaal de maatregelen uit de Baseline Informatiebeveiliging of het Cybersecurity Implementation Guide (CIS IG1) toe te passen.
Hoe implementeer ik deze maatregelen in mijn organisatie?
NIS2/Cbw bestaat voor elke organisatie uit dezelfde onderdelen, maar deze onderdelen zijn per organisatie verschillend ingevuld, daarom is een persoonlijke aanpak van belang om de situatie in jouw organisatie in kaart te brengen en gericht op te lossen.