Nu al een NIS2 Quality Mark?
Nu al een NIS2 Quality Mark?
We krijgen soms vragen van mensen. ” De wet is er nog niet, hoe kun je dan nu al een Quality Mark halen?”
Het antwoord is simpel. Je kunt het nog niet halen! Maar je kunt wel al beginnen. En dat is heel erg nodig. De overheid geeft aan dat je nu al moet beginnen.
Tegelijk is dat dan wel best een uitdaging. Wat moet je dan exact doen? Wie kan je helpen? Cybersecurity is niet eenvoudig. Dat weten we allemaal. Bedrijven hebben nood aan praktische lijsten met een hele heldere uitleg en echte ondersteuning. Het NIS2 Quality Mark bevat deze praktische lijsten met uitleg. SDV geeft de benodigde ondersteuning en uitleg.
Op dit moment kun je starten met 3 stappen:
- Risicoanalyses maken.
- Starten met het nemen van maatregelen.
- Starten met het inregelen van procedures.
Met die stappen kan iedereen vandaag beginnen met de NIS2. Na verloop van tijd zal de overheid de wetteksten (in de Wbni) bekend gaan maken. Dan volgt de volgende stap. Wij zullen de GAP analyse voor je maken. Het gat tussen de maatregelenlijsten en de wet. Daaruit volgen dan de laatste stappen. Pas daarna, en dat gaat dus nog even duren, kun je een audit aanvragen. Audits zullen gedaan worden door erkende onafhankelijke auditoren.
Voorlopig kun je dus het NIS2 Quality Mark nog niet halen. Maar je kunt al wel beginnen, voldoen aan de NIS2 is veel werk. Dat advies komt van brancheorganisaties en de overheid. Ga dus aan de slag om je organisatie te gaan voorbereiden.
Hoe zijn de maatregelen in het NIS2 Quality Mark dan bepaald? Zoals gezegd, niet alles is al bepaald, er volgt nog een GAP analyse en extra stappen. Maar de NIS2 richtlijn vanuit Europa bevat al wel hoofdonderdelen:
- Beleid opstellen inzake risicoanalyse en de beveiliging van informatiesystemen.
- Incidentafhandeling inregelen.
- Garanderen van bedrijfscontinuïteit, zoals back-upbeheer en rampenherstel, evenals crisismanagement.
- Zorgen voor beveiliging van de toeleveringsketen, inclusief alle beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en de directe leveranciers of dienstverleners, op basis van een risico-inventarisatie.
- Beveiliging toepassen in de verwerving, ontwikkeling en het onderhoud van netwerk- en informatiesystemen, inclusief het omgaan met kwetsbaarheden en openbaarmaking.
- Beleid en procedures inregelen om de effectiviteit van cybersecurity risicobeheersmaatregelen te beoordelen.
- Basispraktijken voor cyberhygiëne toepassen voor de eigen organisatie en directe leveranciers. Onderdeel daarvan is cybersecurity training voor medewerkers en NIS2 training voor directie en bestuurders.
- Beleid en procedures toepassen met betrekking tot het gebruik van cryptografie en, waar van toepassing, encryptie.
- Veiligheidsmaatregelen voor personeel, toegangscontrolebeleid en beheer van bedrijfsmiddelen.
- Het gebruik van multi-factor authenticatie (MFA) of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit, indien van toepassing.
Al deze onderdelen kun je al dus gaan opstarten. SDV heeft een samenwerkingsovereenkomst met het NIS2 Quality Mark en heeft al heel veel informatie uit de NIS2 richtlijn vertaald naar praktische lijsten met maatregelen. En dat is precies wat bedrijven nodig hebben.
Nationaal Cyber Security Centrum (NCSC)
Informatie over de implementatie van de NIS2 richtlijn in Nederland en de aanpassingen in de Wbni.