Zoals al vermeld in in een van mijn andere blogs dienen door de invoering van NIS2 meerdere bedrijfstakken uitgebreide Cyber Security normen te hanteren.
Dit houdt ondermeer in dat ze vaker risicobeoordelingen moeten uitvoeren en ook dat ze verplicht worden om incidenten die aanzienlijke gevolgen hebben voor de dienstverlening nog sneller bij een centraal overheidsorgaan moeten melden.
Zorgplicht
De NIS2-richtlijn bevat een zorgplicht die entiteiten verplicht om zelf een risicobeoordeling uit te voeren op basis waarvan ze passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen. In de praktijk zorgt de zorgplicht er dus voor dat organisaties ervoor dienen te zorgen hun hele infrastructuur veilig te hebben en te houden. Voor veel organisaties is het vaak lastig om naast de benodigde, geschikte apparatuur met name aan geschikt en voldoende personeel te komen. Dan is het juist interessant om dit uit te besteden aan een partij zoals ITPG. Op deze manier kun je zometeen wel gewoon blijven voldoen aan de nieuwe zorgplicht, zonder hiervoor zelf een SOC (Security Operations Center) op te hoeven tuigen.
Meldplicht
De NIS2-richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. het gaat om incidenten die de verlening van de essentiele dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook nog gemeld worden bij het nationale Computer Security Incident Response Team (CSIRT). Wanneer is een incident meldingswardig? Denk daarbij bijvoorbeeld aan het aantal personen dat door de verstoring is geraakt, of de tijdsduur van een verstoring en/of de mogelijke financiele verliezen. Dit meldplicht geldt momenteel alleen nog voor datalekken, maar wordt met de komst van NIS2 dus uitgebreid met het melden van zaken als een ransomware aanval of misbruik van een kwetbaarheid.
Boetes
Als blijkt dat er bij controle niet voldoende maatregelen zijn genomen, kunnen besturlijke boetes worden opgelegd. Deze kunnen oplopen tot € 10 miljoen of 2% vande jaarlijkse wereldwijde omzet van een bedrijf.
Persoonlijke aansprakelijkheid
De NIS2-richtlijn stelt diverse eisen en verplichtingen aan de organisatie gericht op het in kaart brengen van risico's en het borgen van maatregelen. Het management van een organisatie moet ervoor zorgen dat medewerkers bekend zijn met de vereisten en zich hiernaar gedragen. Verder dienen bestuursleden erop toe te zien dat de voorschriften worden nageleefd. Belangrijk om te beseffen is dat 'directie en bestuur zijn persoonlijk verantwoordelijk en aansprakelijk bij grove nalatigheden'. Dat betekent dat leidinggevenden van organisaties over voldoende kennis en vaardigheden moeten beschikken om de gevolgen van mogelijke cyberincidenten te kunnen inschatten.
NIS2 wordt in oktober 2024 van kracht en dus is de tijd beperkt om te zorgen dat ook jouw organisatie er klaar voor is!!
Hier helpen we je uiteraard graag bij.
Lees daarom verder in mijn onderstaande blogs, dan leg ik je uit welke stappen je kunt nemen om op tijd voorbereid te zijn. Of maak een afspraak dan kom ik je een en ander persoonlijk toelichten.
