Uiterlijk in 2024 moet de Europese NIS2 richtlijn ook in nationale wetgeving zijn omgezet. Ook dan geldt waarschijnlijk nog een overgangsjaar en is de verwachting dat in 2025 uiteindelijk bedrijven en organisaties die onder de NIS2 vallen ook moeten aantonen dat ze aan de richtlijn voldoen.
Voor welke bedrijven relevant?
Onder de NIS2 vallen bedrijven en organisaties met zogenaamde “essentiële activiteiten”. Dat wordt specifieker gemaakt doordat 8 sectoren worden benoemd: Transport, Gezondheidszorg, Banken, Financiële markten, Digitale infrastructuur, Drinkwatervoorziening, Rioolwaterafvoer en Energievoorziening.
Maar het blijft niet bij deze zogenaamde eerste ‘ring’ van bedrijven. Want nu komt het; grote kans dat ook bedrijven die diensten of producten leveren aan de eerste ring gaan vallen onder de NIS2 richtlijn. Dat lijkt in ieder geval zo, zodra sprake is van een vorm van ketensamenwerking of samenwerking in een supply chain. De omvang van het bedrijf of organisatie doet er niet toe.
Welke maatregelen moet je treffen?
Dit is nog lang niet concreet. Waar het wel om gaat is dat je kunt aantonen dat je voldoende maatregelen hebt getroffen. Waar het waarschijnlijk op neer komt is dat de basismaatregelen die door het Nederlands Cyber Security Centrum (NCSC) worden geadviseerd in ieder geval aanwezig moeten zijn;
-
- Voer regelmatig risico-analyses uit
- Pas sterke authenticatie toe
- Bepaal wie toegang heeft tot data en diensten
- Beperk het aanvalsoppervlak
- Gebruik versleuteling
- Zorg voor maatregelen om verlies van gegevens te voorkomen
- Richt patchmanagement in
- Centraal en analyseer logdata
Meer weten?
Datect volgt de ontwikkeling met betrekking tot NIS2 op de voet. Wil je nu al beginnen met de voorbereiding en heb je hier advies nodig hoe je je het beste kunt voorbereiden? Maak dan een vrijblijvende afspraak met een van onze consultants!
