Zo voldoe je aan de eisen NIS2: training voor bestuur, cyberhygiëne en bewustzijn medewerkers verhogen

De NIB2 richtlijn komt eraan! En dat betekent dat organisaties aan een aantal eisen moeten voldoen die de NIS2 met zich meebrengt. In dit artikel speciale aandacht voor de eisen rondom opleiding voor bestuur en voor cyberhygiëne.

NIS2 training
CAN - Portretfoto - Bradley
Bradley Luijten
Adviseur

Bradley Luijten is adviseur bij CertificeringsAdvies Nederland. "Als Adviseur Informatiebeveiliging met een bedrijfskundige achtergrond, beschik ik over gevarieerde kennis van zowel technische als zakelijke aspecten".

bradley@certificeringsadvies.nl

De NIS2 Directive, een Europese wet, gericht op het verhogen van de cyberweerbaarheid in Europa die momenteel door de Nederlandse overheid wordt omgezet naar Nederlandse wetgeving (NIB2 richtlijn). Ondanks dat de overheid er nog druk mee doende is, zijn er wel al een aantal NIS2/NIB2 eisen bekend waaraan organisaties die aan de NIS2 verplichting moeten voldoen mee aan de slag moeten. In dit artikel vertellen we daar meer over. Een aantal NIS2 eisen waar we in dit artikel verder op ingaan is de NIS2 training voor bestuur en het op orde brengen van de cyberhygiëne waaronder het bewustzijn rondom informatiebeveiliging/cybersecurity voor medewerkers verhogen.

Over de NIS2

NIS2 Directive komt eraan

De NIS2 Directive, wat staat voor Network and Information Systems Directive, is op 16 januari 2023 in werking getreden. De NIS2 is een Europese wet, die op dit moment in Nederland wordt door vertaald naar Nederlandse wetgeving onder de naam Netwerk- en Informatiebeveiligingsrichtlijn (NIB2), die naar verwachting eind 2024 van kracht zal zijn.

De NIS2 heeft als doel de cyberweerbaarheid in heel Europa verbeteren. Aanleiding daarvoor is o.a. de sterke toename in cyberaanvallen wereldwijd (phishing ransomware, malware) en de steeds grotere afhankelijkheid van de digitale infrastructuur die van levensbelang is. Denk bijv. aan betalingsverkeer, schoon water uit de kraan en droge voeten houden.

De NIS2 geldt straks voor vitale en belangrijke aanbieders, zoals banken, zorginstellingen, vervoerders die voedsel of andere belangrijke huishoudelijke artikelen maken en voor Managed Service Providers (MSP’s). In principe vallen kleinere bedrijven niet onder NIS2 wetgeving; de grens komt naar verwachting te liggen op 10 miljoen aan jaarinkomsten of vijftig medewerkers.

Cybersecurity is basishygiëne

Wanneer jouw organisatie echter niet onder de NIS2-richtlijn valt, betekent dat niet dat er geen risico’s zijn. Het is altijd verstandig om naar je cyberweerbaarheid te kijken. Ook kleine organisaties lopen risico’s, zolang er geen maatregelen getroffen worden. Cybersecurity is, vanwege de grote dreigingen en nog grotere gevolgen, niet meer vrijblijvend maar een basishygiënefactor voor organisaties. Niets doen is geen optie meer; ook niet als je organisatie niet onder de NIS2 verplichting valt.

NIS2 eisen

Ondanks dat de Nederlandse overheid nog druk doende is om de EU-wetgeving door te vertalen naar NL-wetgeving, is al wel duidelijk dat er strenge(re) eisen worden gesteld aan organisaties en dat dit voor tal van organisaties impact heeft. De NIS2 schrijft in de basis vier verplichtingen voor:

  • 1) De zorgplicht
  • 2) De registratieplicht
  • 3) De meldplicht
  • 4) Toezicht

Vanuit de zorgplicht wordt vereist dat bepaalde technische en organisatorische maatregelen zijn uitgevoerd. Er is een lijst van minimale beveiligingseisen waar vitale organisaties, en de fysieke omgeving waarin systemen zich bevinden, aan moeten voldoen. Daaronder vallen o.a.:

NIS2 – ISO 27001 implementatiepakket

Hoe zorg je dat je tijdig aan de eisen voldoet? Welke stappen moet je ondernemen voor NIS2 implementatie? Het NIS2 – ISO 27001 implementatiepakket van CertificeringsAdvies Nederland (CAN) vormt een uitstekende basis om de NIS2 in je organisatie te implementeren. Mocht daar aanleiding voor zijn, is het ook mogelijk om aan NIS2 te voldoen, zonder inrichting van een ISO 27001 managementsysteem. 

Bekijk het pakket

Eén van de eisen die vanuit de zorgplicht gesteld worden gaan we in dit artikel verder uitlichten. Dat is namelijk een eis die gericht is op de ‘mensen’ binnen je organisatie. De NIS2 eist:

  • Opleiding bestuur m.b.t. cyberbeveiliging
  • Basis cyberhygiëne en trainingen op gebied van cyberbeveiliging

Eis NIS2: training bestuur

De NIS2 eist dat bestuurders, commissarissen en toezichthouders een opleiding moeten doen, waarmee:

  • Ze voldoende kennis en vaardigheden opdoen om risico’s met betrekking tot cybersecurity te kunnen herkennen;
  • En de gevolgen hiervan kunnen beoordelen op de diensten die de organisatie levert.

Hoe zit dat precies? De NIS2 eist dat het bestuur van een organisatie een cruciale en actieve rol aanneemt met het oog op het borgen van de naleving van de eisen op gebied van risicobeheersing. Bestuur dient de risicobeheermaatregelen goed te keuren en toezicht te houden op implementatie ervan. De NIS2 stelt dat het bestuur van essentiële entiteiten persoonlijk aansprakelijk gesteld kan worden voor schending van de verplichting om naleving van de richtlijn te borgen.

En daarom: Het bestuur dient verdere training(en) te volgen om voldoende kennis en vaardigheden op te doen om invulling geven aan deze verantwoordelijkheid.

Eis NIS2: basis cyberhygiëne en trainingen op gebied van cybersecurity

Zoals al eerder in dit artikel genoemd dienen organisaties die onder de NIS2 richtlijn vallen te voldoen aan eisen op het gebied van cybersecurity. Dat neemt niet weg dat organisaties die niet direct onder de NIS2 verplichting vallen, geen risico’s lopen. Die zijn er wel degelijk. Ook voor die organisaties is het daarom aan te raden om de basis cyberhygiëne op orde te brengen. Bovendien adviseren we om nu al te starten met het zetten van de eerste stappen en niet te wachten tot de NIS2 van kracht gaat zijn. Er komen dagelijks meer en grotere dreigingen bij en risico’s worden daardoor almaar groter.

Wat verstaan we dan over basis cyberhygiëne of basis informatiebeveiliging? Nou denk daarbij aan:

  • Sterke wachtwoorden en Multi-factor authenticatie (MFA) inschakelen;
  • Uitgebreide detectie & respons en antimalware
  • Het up-to-date houden van systemen
  • Bescherming van gegevens
  • Clean desk en clear screen beleid
  • Encryptie
  • Werken aan bewustzijn onder medewerkers
  • Etc.

Opstaptraject informatiebeveiliging: breng de basis op orde!

Hoe ga je starten met informatiebeveiliging? Onze visie: overweeg om het ‘in stukjes te hakken’ en begin bij het meest essentiële zaken (de ‘basics’). Met ons programma “Starten met basics van informatiebeveiliging (ISO 27001/NEN 7510)” geven wij hier invulling aan.

Bekijk opstaptraject

Hoe kun je hiermee een start maken? Allereerst is het om, cyberweerbaarder te worden, aan te raden om een risicoanalyse uit te (laten) voeren voor je organisatie. Vervolgens kun je aan de slag met de implementatie van de zogenaamde maatregelen met betrekking tot de basisbeveiligingshygiëne (zoals de factoren hierboven). Bij CertificeringsAdvies Nederland bieden we hiervoor een ‘opstaptraject informatiebeveiliging’ aan waarin we:

  • 1) De huidige situatie analyseren (risicoanalyse/GAP-analyse)
  • 2) Een verbeterplan opstellen
  • 3) Verbeteracties implementeren, deze monitoren en inzetten op bewustwording van medewerkers
  • 4) Eventueel een interne audit uitvoeren

NIS2: Zorg voor cyberbewuste medewerkers

Zoals hierboven al benoemd eist de NIS2 dat ‘het bestuur’ opleiding/training doet op gebied van cybersecurity. Wanneer je echter met informatiebeveiliging en cybersecurity aan de slag gaat binnen je organisatie, dan kom je er al snel achter dat ‘security awareness’ een ontzettend belangrijke rol speelt. Bewuste medewerkers zijn ontzettend belangrijk voor de organisatie. Veel cyber- en informatiebeveiligingsincidenten komen namelijk door verkeerd handelen door medewerkers van de organisatie. Het is dus belangrijk om medewerkers, continu, bewust te maken van de risico’s.

Security awareness inrichten, om het niveau van cyberweerbaarheid te verhogen, kan op allerlei manieren. Bij Certificeringsadvies Nederland denken we daarin graag met je mee en stellen we, waar gewenst, een security awareness programma op maat voor je samen. Wij beschikken over een aantal tools waarmee we je snel op weg kunnen helpen, zoals:

  • De security awareness scan is ontworpen om het huidige bewustwordingsniveau van je medewerkers te testen. Door het uitvoeren van de scan kunnen potentiële zwakke punten in de (informatie)beveiliging geïdentificeerd worden en kan er een plan van aanpak opgesteld worden;
  • Security Awareness e-learning op maat zijn digitale leerpaden waarmee werknemers periodiek aan de slag gaan met bijspijkeren van het bewustwordingsniveau op gebied van informatiebeveiliging. Hierbij komen thema’s aan bod als AVG, Phishing, Updates, wachtwoorden etc.
  • De security awareness training op maat: een op maat samen te stellen trainingsprogramma waarbij op een interactieve manier periodiek aandacht besteedt wordt aan informatiebeveiliging. Denk aan phishingsimulatie, quizzen, een spel, een workshop etc.

Kortom: er is vanalles mogelijk om het niveau van bewustwording bij medewerkers in de organisatie – continu – te verhogen, wat weer bijdraagt aan een betere informatiebeveiliging en cyberweerbaarheid in je organisatie. Wil je eens sparren en kijken wat bij jouw organisatie past? Wij helpen je graag op weg met diverse tools die, naar behoefte, op maat kunnen worden samengesteld.

NIS2 training voor bestuur? En/of inrichten basiscyberhygiëne?

Wil je na het lezen van dit artikel stappen gaan zetten op het gebied van cyberweerbaarheid verhogen door bijvoorbeeld medewerkers in je organisatie bewuster te maken van de risico’s of juist een scan uit laten voeren om te bepalen waar je organisatie momenteel staat op dit gebied? Laat het ons weten! Wij denken graag met je mee en vertellen je graag meer over de mogelijkheden. Neem gerust contact met ons op.

CAN - Portretfoto - Bradley
Bradley Luijten
Adviseur

Bradley Luijten is adviseur bij CertificeringsAdvies Nederland. "Als Adviseur Informatiebeveiliging met een bedrijfskundige achtergrond, beschik ik over gevarieerde kennis van zowel technische als zakelijke aspecten".

bradley@certificeringsadvies.nl

E-learning Security Awareness op maat?

Voldoe aan de NIS2-eisen!

  • Op maat leerpad
  • Flexibel te plannen
  • Gratis demo

Maandelijks op de hoogte blijven?

Wil jij op de hoogte blijven van het laatste nieuws uit jouw branche en de nieuwste ontwikkelingen rondom (bedrijfs)normen en groeimogelijkheden voor jouw organisatie? Schrijf je dan in voor de nieuwsbrief en ontvang maandelijks een flinke dosis inspiratie met o.a.:

  • Handige kennisartikelen en praktische tips voor jouw organisatie
  • Actuele updates rondom normen en certificeringen
  • Ontwikkelingen in wet- en regelgeving
  • Interessante acties & events
  • Relevante trainingen en opleidingen

Schrijf je in voor de nieuwsbrief

Schrijf jezelf in voor onze maandelijkse nieuwsbrief door het formulier in te vullen!

"*" indicates required fields