Wat moeten bedrijven doen?
NIS2 hoofdpunten:
- Beleid opstellen inzake risicoanalyse en de beveiliging van informatiesystemen.
- Garanderen van bedrijfscontinuïteit, zoals back-upbeheer en rampenherstel, evenals crisismanagement
- Zorgen voor beveiliging van de toeleveringsketen, inclusief alle beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en de directe leveranciers of dienstverleners, op basis van een risico-inventarisatie.
- Beveiliging toepassen in de verwerving, ontwikkeling en het onderhoud van netwerk- en informatiesystemen, inclusief het omgaan met kwetsbaarheden en openbaarmaking.
- Basispraktijken voor cyberhygiëne toepassen voor de eigen organisatie en directe leveranciers. Onderdeel daarvan is cybersecurity training voor medewerkers en NIS2 training voor directie en bestuurders.
Let op: ketenzorgplicht
Als essentieel of belangrijk bedrijf moet je niet alleen jouw eigen digitale veiligheid versterken, maar ook ervoor zorgen dat de veiligheid binnen de toeleveringsketen gewaarborgd wordt. Dit betekent het implementeren van robuuste beveiligingsmaatregelen en het nauw samenwerken met leveranciers om potentiële cyberdreigingen te minimaliseren. Zo is het van belang dat de NIS2 vereisten contractueel worden vastgelegd. (Logischerwijze in je inkoopvoorwaarden maar het kan ook in een apart contract.)
NIS2 acties voor toeleveranciers (mkb)
Mkb-bedrijven die leveren aan essentiële en/of belangrijke bedrijven moeten ook actie ondernemen als er sprake is van risico’s:
- Denk na of jouw klanten, die direct onder de NIS2 vallen, afhankelijk zijn van jouw producten of diensten. Is er een risico? Is jouw bedrijf makkelijk vervangbaar door een andere leverancier?
- Een zelfevaluatie uitvoeren is de eerste stap. Doe een risicobepaling. Onze supportdesk kan je hier kosteloos bij helpen.
- Het is essentieel om in samenwerking met grote klanten de potentiële risico’s te identificeren. Op basis van deze analyse kan worden bepaald welke beveiligingsniveaus noodzakelijk zijn. Hier moeten dan samen afspraken over worden gemaakt.
- Organisatorische, mensgerichte, fysieke en technologische maatregelen moeten worden geïmplementeerd om te voldoen aan de vastgestelde beveiligingsniveaus. Dit omvat een systematische aanpak voor het verbeteren van alle aspecten van cybersecurity binnen het bedrijf.
- Het is belangrijk om de medewerkers betrekken bij het beveiligingsproces. Regelmatige updates en trainingen zijn cruciaal.
Gebruik de NIS2 checklist voor mkb-leveranciers
Hulp bij NIS2 naleving
Samen Digitaal Veilig heeft praktische todo-lijsten ontwikkeld waarin de bovenstaande punten worden omgezet in praktische maatregelen. Zo wordt de samenwerking tussen essentiële en belangrijke bedrijven en hun toeleveranciers gefaciliteerd.
Bedrijven kunnen starten met de NIS2 norm die bij hen past. Een mogelijkheid is het behalen van het NIS2 Quality Mark. Deze is ontwikkeld om NIS2 haalbaar te maken voor iedereen, ook voor (kleinere) mkb-toeleveranciers. Lees meer over de NIS2 ondersteuning van Samen Digitaal Veilig.
NIS2 normen
Een overzicht van de normen die je kunt gebruiken om te voldoen aan de NIS2.
NIS2 checklist
Zie in één oogopslag wat je moet doen om aan de NIS2 te voldoen.