De GRC-gids voor het Navigeren door NIS 2 – Handleiding

NIS: De Eerste Cybersecuritywet van de EU

De Network and Information Systems Directive (NIS) werd in 2016 ingevoerd als de eerste Europese wetgeving op het gebied van cybersecurity. Het belangrijkste doel was het vergroten van de cyberweerbaarheid van EU-lidstaten door essentiële dienstverleners te identificeren en hen te verplichten cybersecuritymaatregelen te nemen, met incidentrapportage als een centrale vereiste.

Waarom de NIS is herzien

Kort na de invoering bleek echter dat de implementatie van de richtlijn sterk verschilde tussen lidstaten. Deze inconsistentie leidde tot een gefragmenteerd systeem waarin sommige bedrijven en organisaties in het ene land als essentieel werden beschouwd, maar in het andere land niet.

Om dit probleem op te lossen, besloot de Europese Commissie de NIS-richtlijn te herzien. Het resultaat hiervan was de Network and Information Security Directive (NIS2), die in 2021 werd geïntroduceerd en duidelijkere richtlijnen gaf over welke organisaties onder de richtlijn vallen en aan welke specifieke eisen ze moeten voldoen.


NIS2: Een Verbeterde Versie van NIS

De NIS2-richtlijn vergroot de reikwijdte van de oorspronkelijke NIS-richtlijn aanzienlijk, waardoor het aantal betrokken “entiteiten” met een factor 10 is toegenomen. Waar de oorspronkelijke NIS zich beperkte tot sectoren zoals watervoorziening, energie, digitale infrastructuur, banken, financiële markten, gezondheidszorg en transport, breidt NIS2 dit uit naar sectoren als publieke administratie, digitale aanbieders, ruimtevaart, onderzoek, postdiensten, afvalbeheer, voedsel, productie en chemische producten.

Daarnaast versterkt NIS2 de eisen voor handhaving van cybersecurity, waaronder vroege verplichte incidentrapportage, bredere risicobeheermethoden eb een duidelijke toewijzing van verantwoordelijkheden voor cybersecurity aan het C-niveau binnen organisaties.


Om Europa’s weerbaarheid tegen huidige en toekomstige cyberdreigingen te vergroten, introduceert de NIS2-richtlijn nieuwe verplichtingen voor organisaties op vier belangrijke gebieden

Risicobeheer

Organisaties moeten maatregelen nemen om cyberrisico’s te minimaliseren, waaronder incidentbeheer, een sterkere beveiliging van de toeleveringsketen, verbeterde netwerkbeveiliging, strengere toegangscontrole en encryptie.

Corporate Accountability

NIS2 eist dat het management verantwoordelijk is voor de goedkeuring, het toezicht op en de training met betrekking tot cybersecuritymaatregelen. Bij cyberincidenten kunnen er sancties volgen voor het management, zoals aansprakelijkheid en mogelijk een tijdelijke schorsing uit managementfuncties.

Rapportageverplichtingen

Essentiële en belangrijke entiteiten moeten processen opzetten voor de tijdige rapportage van beveiligingsincidenten die aanzienlijke gevolgen hebben voor hun dienstverlening. NIS2 stelt specifieke deadlines vast, zoals een “vroege waarschuwing” binnen 24 uur.

Business Continuity

Organisaties moeten een plan ontwikkelen om hun bedrijfscontinuïteit te waarborgen bij grote cyberincidenten. Dit plan moet zaken omvatten zoals systeemherstel, noodprocedures en het opzetten van een crisisteam.


De NIS2-richtlijn is een belangrijke stap in het harmoniseren en versterken van cybersecurity binnen de EU. Het helpt organisaties om beter voorbereid te zijn op de toenemende dreigingen in het digitale tijdperk. Download de gids hier.


 

Over Drata:

Drata automatiseert uw compliancetraject van begin tot auditklaar en verder en biedt ondersteuning van de beveiligings- en compliancedeskundigen die het hebben gebouwd.

Drata is het meest geavanceerde platform ter wereld voor beveiligings- en nalevingsautomatisering, met als missie om vertrouwen op te bouwen in de cloud. Met Drata stroomlijnen duizenden bedrijven meer dan 20 nalevingskaders—zoals SOC 2, ISO 27001, GDPR, en meer—via continue, geautomatiseerde controlemonitoring en bewijsverzameling, wat resulteert in een sterke beveiligingspositie, lagere kosten en minder tijd besteed aan voorbereidingen voor jaarlijkse audits. Het bedrijf wordt ondersteund door ICONIQ Growth, Notable Capital, Alkeon Capital, Salesforce Ventures, Cowboy Ventures, S Ventures, Leaders Fund, Okta Ventures, SVCI, SV Angel, Intuit Ventures, en vele belangrijke industrieleiders.

 


Wilt u meer informatie over Drata ? Neem dan contact op met het sales team van Exclusive Networks op +31 (0)499 462121 of stuur een mail naar info@exclusive-networks.nl