NIS2
In 2016 heeft de EU de Richtlijn inzake Netwerk- en Informatiebeveiliging (NIS) ingevoerd om een gemeenschappelijk niveau van cybersecurity in de lidstaten vast te stellen.
De NIS2-richtlijn (Netwerk- en Informatiebeveiliging 2) is de nieuwste uitbreiding van deze wetgeving, gericht op verdere versterking van cybersecurity in Europa. NIS2 is van toepassing in de hele EU en legt basismaatregelen voor risicobeheer op het gebied van cybersecurity en rapportageverplichtingen vast.
Deze richtlijn heeft invloed op organisaties in verschillende sectoren, waaronder energie, transport, gezondheid en digitale infrastructuur.
Elke EU lidstaat heeft tot 17 oktober 2024 de tijd om de NIS2-richtlijn om te zetten in zijn nationale wetgeving.
NALEVING VAN DE NIS2-RICHTLIJN
Organisaties die onder de NIS2-richtlijn vallen, moeten de nodige maatregelen nemen om hun digitale beveiliging te verbeteren en incidenten te melden aan nationale autoriteiten.
De volgende maatregelen vertegenwoordigen de minimale eisen die moeten worden nageleefd:
Een beleid voor risicoanalyse en de beveiliging van informatiesystemen.
Een proces voor het afhandelen van incidenten.
Veiligheidsaspecten met betrekking tot personeel, toegangsbeleid en asset management.
De verzekering van bedrijfscontinuïteit, inclusief beheer van back-ups, noodresponsplannen en crisisbeheer.
Beveiliging van de toeleveringsketen, inclusief beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar directe leveranciers of dienstverleners.
Beveiliging bij de verwerving, ontwikkeling en onderhoud van netwerk- en informatiesystemen, inclusief respons op kwetsbaarheden en openbaarmaking.
Beleidsregels en procedures om de effectiviteit van maatregelen voor het beheer van cybersecurityrisico’s te beoordelen.
Fundamentele praktijken in cyberhygiëne en cybersecuritytraining.
Beleidsregels en procedures met betrekking tot het gebruik van cryptografie en, indien van toepassing, versleuteling.