ISMS Copilot
Ondersteunde frameworks

NIS2-richtlijn

De NIS2-richtlijn (Richtlijn (EU) 2022/2555) is de geactualiseerde cybersecuritywetgeving van de EU die uitgebreide beveiligings- en incidentrapportagevereisten vaststelt voor essentiële en belangrijke entiteiten in kritieke sectoren. NIS2, dat van kracht wordt op 18 oktober 2024, breidt de reikwijdte en handhaving van zijn voorganger (NIS1) aanzienlijk uit, bestrijkt meer sectoren en legt strengere verplichtingen op.

ISMS Copilot heeft specifieke kennis van NIS2-vereisten. U kunt vragen stellen over specifieke onderdelen van het kader, beleid genereren dat in lijn is met NIS2-artikelen en tekortkomingen in de naleving beoordelen met behulp van de AI-assistent.

Wie moet voldoen aan NIS2?

NIS2 is van toepassing op organisaties die in de EU actief zijn in 18 kritieke sectoren, onderverdeeld in:

Essentiële entiteiten (hogere kritikaliteit):

  • Energie (elektriciteit, olie, gas, waterstof)

  • Transport (lucht, spoor, water, weg)

  • Bankwezen en infrastructuren voor de financiële markt

  • Gezondheidssector (zorgaanbieders, laboratoria, fabrikanten van medische hulpmiddelen)

  • Drinkwater en afvalwater

  • Digitale infrastructuur (internetknooppunten, DNS-providers, clouddiensten, datacenters)

  • Overheidsinstellingen

  • Ruimtevaart

Belangrijke entiteiten (matige kritikaliteit):

  • Post- en koeriersdiensten

  • Afvalbeheer

  • Productie en distributie van chemicaliën

  • Levensmiddelenproductie en -distributie

  • Productie (medische hulpmiddelen, elektronica, machines, motorvoertuigen)

  • Digitale aanbieders (online marktplaatsen, zoekmachines, sociale netwerken)

  • Onderzoeksorganisaties

Sleutels voor omvangsbeperking variëren per lidstaat, maar zijn over het algemeen van toepassing op middelgrote en grote organisaties (50+ werknemers of een jaaromzet van €10 miljoen+). Kleine en micro-entiteiten kunnen worden opgenomen als zij kritieke diensten verlenen.

Kernbeveiligingseisen

NIS2 verplicht een uitgebreide set cybersecuritymaatregelen in tien domeinen:

  1. Risicobeheer: Risico's voor netwerk- en informatiesystemen identificeren en beoordelen

  2. Incidentbehandeling: Detecteren van, reageren op en herstellen van beveiligingsincidenten

  3. Bedrijfscontinuïteit: Back-upbeheer, rampherstel en crisisbeheer

  4. Beveiliging van de toeleveringsketen: Beveiligingsrisico's van leveranciers en dienstverleners beoordelen en beheren

  5. Beveiliging bij verwerving: Beveiliging integreren in de inkoop van systemen en diensten

  6. Kwetsbaarheidsbeheer: Kwetsbaarheden beoordelen en patches en updates implementeren

  7. Beleid en procedures: Documenteren van beveiligingsbeleid voor toegangscontrole, activabeheer en authenticatie

  8. Cryptografie en versleuteling: Bescherming van de vertrouwelijkheid en integriteit van gegevens

  9. Beveiliging van personeel: Toegangscontrolebeleid, training en bewustwordingsprogramma's

  10. Multifactorauthenticatie en beveiligde communicatie: Implementeren van sterke authenticatie en versleutelde noodcommunicatiesystemen

Verplichtingen voor incidentrapportage

NIS2 introduceert strikte tijdlijnen voor incidentrapportage:

  • Vroege waarschuwing (24 uur): Breng het nationale CSIRT of de bevoegde autoriteit op de hoogte binnen 24 uur nadat een significant incident bekend is geworden

  • Incidentmelding (72 uur): Dien een eerste beoordeling in inclusief de ernst, indicatoren van compromittering en de eerste impact

  • Eindrapport (1 maand): Verstrek een gedetailleerd rapport met oorzaakanalyse, impactbeoordeling en herstelmaatregelen

Het niet melden van incidenten binnen deze termijnen kan leiden tot aanzienlijke boetes, waaronder bedragen tot €10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van wat hoger is.

Governance en verantwoordingsplicht

NIS2 benadrukt de verantwoordelijkheid van het bestuursorgaan:

  • Verantwoordingsplicht op directieniveau: Bestuursorganen moeten cybersecuritymaatregelen goedkeuren en toezien op de implementatie

  • Persoonlijke aansprakelijkheid: Het management kan persoonlijk aansprakelijk worden gesteld voor niet-naleving

  • Trainingsvereisten: Het management moet deelnemen aan cybersecuritytrainingen

  • Toezichthoudende autoriteit: Nationale autoriteiten kunnen inspecties ter plaatse en audits uitvoeren

Sancties en handhaving

NIS2 introduceert geharmoniseerde sancties in de hele EU:

  • Essentiële entiteiten: Tot €10 miljoen of 2% van de wereldwijde jaaromzet (afhankelijk van wat hoger is)

  • Belangrijke entiteiten: Tot €7 miljoen of 1,4% van de wereldwijde jaaromzet (afhankelijk van wat hoger is)

Er kunnen sancties worden opgelegd voor het niet implementeren van beveiligingsmaatregelen, overtredingen van incidentrapportage of gebrek aan medewerking met autoriteiten.

Hoe ISMS Copilot helpt

ISMS Copilot biedt uitgebreide ondersteuning voor NIS2-compliance:

  • Kaderspecifieke begeleiding: Stel vragen over specifieke NIS2-artikelen, beveiligingsmaatregelen of rapportageverplichtingen

  • Beleid genereren: Creëer audit-ready beleid voor alle tien de cybersecuritydomeinen

  • Gap-analyse: Upload bestaande beveiligingsdocumentatie om hiaten ten opzichte van de NIS2-vereisten te identificeren

  • Risicobeoordelingen: Genereer op NIS2 afgestemde risicobeoordelingen voor systemen en relaties in de toeleveringsketen

  • Planning van incidentrespons: Ontwikkel classificatieschema's voor incidenten en rapportageworkflows die passen bij de NIS2-tijdlijnen

  • Roadmaps voor compliance: Vraag om implementatiebegeleiding op basis van uw organisatietype en sector

  • Organisatie van de werkruimte: Beheer NIS2-projecten gescheiden van andere compliance-initiatieven

De AI heeft directe kennis van de structuur en vereisten van NIS2, dus u kunt in uw prompts verwijzen naar specifieke artikelen of beveiligingsmaatregelen.

Probeer eens te vragen: "Genereer een beveiligingsbeleid voor de toeleveringsketen in lijn met NIS2 Artikel 21" of "Wat zijn de vereisten voor incidentrapportage voor essentiële entiteiten onder NIS2?"

Aan de slag

Om te beginnen met NIS2-compliance in ISMS Copilot:

  1. Maak een speciale werkruimte aan voor NIS2-compliance

  2. Vraag de AI of uw organisatie in aanmerking komt als een essentiële of belangrijke entiteit

  3. Genereer basisbeleid voor de tien cybersecuritydomeinen

  4. Upload bestaande cybersecurity-beleidsregels voor een gap-analyse

  5. Ontwikkel een incidentresponsplan met NIS2-conforme rapportageworkflows

  6. Creëer een beoordelingsproces voor de beveiliging van de toeleveringsketen

Implementatie door lidstaten

Hoewel NIS2 minimumvereisten stelt, kunnen individuele EU-lidstaten aanvullende verplichtingen opleggen via nationale omzettingswetten. Raadpleeg de richtlijnen van uw nationale cybersecurity-autoriteit voor landspecifieke vereisten.

Gerelateerde bronnen

  • Officiële tekst NIS2-richtlijn: EUR-Lex

  • ENISA (Agentschap van de Europese Unie voor cyberbeveiliging) richtlijnen en bronnen

  • Contactgegevens van nationale CSIRT's en bevoegde autoriteiten

Was dit nuttig?