15 jan
Investeren in de volwassenheid van informatiebeveiliging en cybersecurity is altijd een goede zaak, zeker omdat de dreiging elk jaar groter wordt. Maar ook omdat NIS2 eraan komt. Begin op tijd!
Of het op orde krijgen van de digitale weerbaarheid van de eigen organisatie nog niet voldoende is: de ontwikkelingen op het gebied van ketenverantwoordelijkheid gaan razendsnel. Neem de op handen zijnde invoering van NIS2.
Deze Europese wetgeving op het gebied van informatiebeveiliging en cybersecurity gaat voor meer organisaties gelden dan de Wet Beveiliging netwerk- en informatiesystemen (NIS1).
Ook digitale aanbieders en onderzoeksorganisaties vallen er straks bijvoorbeeld onder. Dat betekent dat zij moeten zorgen voor passende beveiliging. In het eerste kwartaal van 2024 staat de internetconsultatie gepland van de concept- wetteksten. Dat geeft al meer inzicht in wat er gaat veranderen. Uiteindelijk is het natuurlijk wachten op de lagere regelgeving. Als alles volgens planning verloopt, gaan de nieuwe regels uiterlijk half oktober 2024 gelden.
Net als de Rijksoverheid raden wij nu al aan: begin op tijd met voorbereidingen! Sowieso verdient het aanbeveling om voortdurend te investeren in digitale weerbaarheid, want incidenten (met alle schade van dien) voorkomen is en blijft altijd beter dan genezen. Het beperkt schaderisico en draagt bij aan de bedrijfscontinuïteit.
Het advies om op tijd maatregelen te treffen geldt helemaal voor organisaties die straks onder de NIS2-reglegeving gaan vallen (check op https://regelhulpenvoorbedrijven.nl/NIS-2-NL/ of jouw organisatie er ook onder valt!). Nieuw is bijvoorbeeld dat de richtlijn gaat gelden voor de gehele IT-keten. De meldplicht wordt teruggebracht tot 24 uur. En lidstaten mogen zelf gaan bepalen of zij eisen dat de NIS2-bedrijven waarvoor de nieuwe regels gaan gelden, werken met gecertificeerde ICT producten.
Juist die ketenverantwoordelijkheid is interessant en uitdagend tegelijk. Want wat gaat dit betekenen in de praktijk, hoe ben je als organisatie aantoonbaar ‘in control’? Een praktische tip van ThreadStone: neem nu al een ‘right to audit’ op in contracten die je afsluit met je IT-leveranciers. Zeker als het gaat om leveranciers die niet officieel gecertificeerd zijn met ISO 27001 of een ISAE 3402. Daarnaast is het invoeren van vulnerability management een verstandige zet. Door voortdurend te controleren op kwetsbaarheden, komen ook kwetsbaarheden in software-oplossingen, kantoorautomatisering en hardware naar boven. Op basis daarvan kun je dan heel gericht met betrokken leveranciers in gesprek gaan.