NIS2, welke impact op je onderneming?

Na de inwerkintreding van de Network and Information Systems Directive ii (NIS2)-wetgeving op 17 oktober 2024, staan bedrijven die binnen de scope vallen voor de uitdaging om zich te conformeren aan de opgelegde maatregelen. Maar ook ondernemingen die buiten de reikwijdte vallen, kunnen onrechtstreeks te maken krijgen met de gevolgen van deze regelgeving.

In deze blog lees je alles over de maatregelen die bedrijven moeten nemen als ze onder het toepassingsgebied vallen, terwijl we ook waarschuwen voor de mogelijke impact op ondernemingen die niet rechtstreeks onder NISII vallen. 

 Welke minimale maatregelen gelden?

Als je wilt vaststellen of jouw onderneming onder het toepassingsgebied valt, raden we je aan onze blog “NIS2, is jouw bedrijf eraan onderworpen?” te lezen. Hierin geven we gedetailleerde informatie en inzichten om de relevantie van de NIS2- regelgeving voor jouw bedrijf te beoordelen. 

Voor ondernemingen die onder het toepassingsgebied vallen, is het noodzakelijk om, ongeacht of ze als essentiële of belangrijke entiteit worden beschouwd, te voldoen aan een reeks minimale maatregelen. 

NIS2 stelt een overkoepelende regel vast waarbij bedrijven verplicht zijn maatregelen te treffen op basis van de grootte, maatschappelijke functie en blootstelling aan risico’s.  

Daarnaast specifieert NIS2 uitdrukkelijk een aantal minimale maatregelen die elke entiteit moet implementeren: 

1.  Een beleid voor risicoanalyse en beveiliging van informatiesystemen. 

2. Een plan voor het afhandelen van beveiligingsincidenten: preventie, detectie en reactie. 

3. Een plan voor crisismanagement en bedrijfscontinuïteit. (back-ups moeten up-to-date zijn en er moet een procedure bestaan over disaster recovery) 

4. Beveiliging rond toeleveringsketens en de relatie tussen het bedrijf en de directe leveranciers. Bedrijven moeten beveiligingsmaatregelen kiezen die passen bij de kwetsbaarheden van elke directe leverancier (in functie van hun cyberbeveiligingspraktijken). Vervolgens moeten bedrijven het algemene beveiligingsniveau voor alle leveranciers beoordelen. 

5. Beleid en procedures voor het evalueren van de effectiviteit van beveiligingsmaatregelen. 

6. Beveiliging rond de aanschaf van systemen en de ontwikkeling en het gebruik van systemen. Dit betekent dat er een beleid moet zijn voor het omgaan met rapporteren van kwetsbaarheden. 

7. Cybersecurity trainingen en basispraktijken voor cyberhygiëne. 
   
   

8. Het management moet cursussen volgen en regelmatig soortgelijke cursussen aanbieden aan alle werknemers. 
   
   

9. Beleid en procedures voor het gebruik van cryptografie en, indien relevant, encryptie. 
   
   

10. Beveiligingsprocedures voor werknemers met toegang tot gevoelige of belangrijke gegevens, inclusief beleid voor gegevenstoegang. Het bedrijf moet ook een overzicht hebben van alle relevante bedrijfsmiddelen en ervoor zorgen dat deze op de juiste manier worden gebruikt en behandeld. 
    
    

11. Het gebruik van multifactorauthenticatie, oplossingen voor continue authenticatie, stem-, video- en tekstversleuteling en versleutelde interne noodcommunicatie, indien van toepassing. 
    

 De indirecte impact van NIS2

Is NIS2 niet direct van toepassing op je onderneming? Indirect kan je toch de impact voelen van deze nieuwe wetgeving. Dit kan het geval zijn wanneer jouw onderneming samenwerkt met bedrijven die wel onder NIS2 vallen. 

Het gevolg is dat ook jouw onderneming, zij het indirect, bepaalde cybermaatregelen moet nemen op vraag van je klanten. De reden is eenvoudig: onderworpen bedrijven zijn verplicht om het algemene beveiligingsniveau van hun leveranciers te beoordelen. 

We raden ondernemingen met klanten die vermoedelijk onder het toepassingsgebied vallen dan ook aan om proactief stappen te zetten zodat je voorbereid bent op deze impliciete cyberuitdagingen.  

 Meer weten?

Auteur: Deborah Mualaba