NIS2 eisen aan organisaties

NIS2 legt specifieke verplichtingen op aan organisaties op het gebied van management, risicomanagement, bedrijfscontinuïteit en verslaglegging aan autoriteiten.

We benadrukken de cruciale punten: ‘De overheid informeert uw organisatie niet actief als de richtlijn op u van toepassing is. Het is aan uw organisatie om zichzelf te evalueren volgens criteria die zowel sectorspecifieke elementen als groottefactoren omvatten. Een organisatie met een dominant marktaandeel in een bepaalde sector kan als ‘belangrijk’ worden beschouwd, en kan zelfs door zijn grootte als ‘essentieel’ worden geclassificeerd.

Het leiderschap van uw organisatie moet vertrouwd zijn met de richtlijnvereisten en de risicomanagement inspanningen. De directie heeft de expliciete taak om ervoor te zorgen dat cyberrisico's worden ontdekt en aangepakt, en dat aan de eisen wordt voldaan.

De verhoogde eisen voor risicomanagement en ‘veerkracht’ impliceren dat uw organisatie risico's moet beheersen en zowel preventieve als mitigerende maatregelen moet toepassen die de risico's en hun impact minimaliseren. Passende maatregelen zijn bijvoorbeeld verwacht op gebieden als incidentmanagement, cyberbeveiliging in de supply chain, netwerkbeveiliging, toegangsbeheer en encryptie.

Uw organisatie moet strategieën ontwikkelen om de bedrijfscontinuïteit te waarborgen in het geval van een ernstig cyberincident. Dit kan betrekking hebben op zaken zoals het herstel van systemen, noodplannen en het opzetten van een crisisbeheerorganisatie. Tot slot moeten organisaties processen hebben geïmplementeerd om te verzekeren dat er op een passende manier gerapporteerd wordt aan autoriteiten. Er is bijvoorbeeld een strikte vereiste dat ernstige incidenten binnen 24 uur moeten worden gemeld.’