Hoe voldoe je aan de vernieuwde NIS2-wetgeving omtrent informatiebeveiliging?

Informatiebeveiliging moet door nog meer organisaties aantoonbaar geborgd worden sinds de introductie van NIS2-wetgeving. Eberly Haalboom, principal consultant informatiebeveiliging, vindt dat informatiebeveiliging intrinsiek gemotiveerd moet zijn. Je zet jouw organisatie hiermee namelijk als betrouwbaar in de markt. Wanneer krijg je te maken met NIS2 en hoe voldoe je aan de wetgeving?

Drie facetten van informatiestromen

Eberly: “Informatiestromen zijn voor veel organisaties onderdeel van de primaire processen. Het is dan belangrijk om de informatie op verschillende manieren te beschermen, namelijk qua: beschikbaarheid, vertrouwelijkheid en integriteit. Als jouw organisatie afhankelijk is van data, moet je zorgen dat je er altijd bij kan. Anders liggen de primaire processen stil. Daarnaast moet je om een betrouwbare organisatie te zijn én om te voldoen aan privacywetgeving, vertrouwelijk met data omgaan. Ten derde moet informatie kloppend, volledig en actueel zijn. Anders neem je als organisatie wellicht beslissingen op basis van onjuiste data. Dat zijn de belangrijkste facetten om te beschermen als organisatie”.

Wie krijgt te maken met NIS2-wetgeving?

NIS2-wetgeving beoogt alles wat binnen de Europese Unie vitaal als wordt geacht, aan maatschappelijke diensten en organisaties, te beschermen op het gebied van informatiebeveiliging. Je denkt hierbij aan overheidsdiensten, nutsvoorzieningen en leveranciers van deze vitale sectoren. Of jij ermee te maken krijgt is onder andere afhankelijk van de omvang van de organisatie, maar ook de omzet die je draait. Het verschil met NIS1 is met name dat er meer sectoren zijn toegevoegd, naast het feit dat de wetgeving een dwingender karakter heeft gekregen”, aldus Eberly.

Hoe toon je aan dat je voldoet aan NIS2-wetgeving?

Het is belangrijk dat je zo veel mogelijk vastlegt binnen je organisatie en aantoonbaar maakt dat je de benodigde maatregelen neemt”, begint Eberly. Dit heeft meerdere voordelen:

  • Inzicht en overzicht, als je dingen vastlegt in beleid en procedures creëer je overzicht en inzicht voor jezelf. Bepaalde dingen worden snel complex en hier kan je geen overzicht over houden als je het niet vastlegt. Je ziet dan ook snel of het logisch en passend is wat je doet.
  • Kennis borgen in de organisatie, als kennis is vastgelegd, zit het niet meer alleen in het hoofd van individuen. Kennis blijft hierdoor beter behouden in de organisatie én het is beter aantoonbaar dat je beleid voert op informatiebeveiliging.
  • Effectiviteit aantonen, als je eens per jaar een audit laat uitvoeren door een externe partij, kan je aantonen dat het managementproces en beheersmaatregelen in orde zijn. Daarnaast toont het ook aan als er verbeterpunten zijn, die je vervolgens op kunt pakken.

Als je het echt goed doet, laat je jezelf ISO 27001 certificeren. Dat is een internationaal framework voor informatiebeveiliging, waarvoor je een certificaat kan krijgen van een onafhankelijke, geaccrediteerde partij. De bedrijven met zo’n certificaat zijn publiekelijk opvraagbaar, wat externe partijen voldoende geruststelling geeft dat jouw organisatie serieus bezig is met informatiebeveiliging”, zegt Eberly.

Uitdagingen omtrent NIS2

Eberly: “Het feit dat NIS2-wetgeving zo’n ongelofelijk breed onderwerp is, maakt het een uitdaging. Als je informatiebeveiliging door je hele organisatie moet borgen, kan je er tegenaan lopen dat je niet weet waar en hoe je moet beginnen. Daarnaast is het een uitdaging als het eenmaal staat, hoe en of je het ook daadwerkelijk in stand houdt. Dat zijn de grootste uitdagingen, dat het zo omvangrijk lijkt dat je door de bomen het bos niet meer ziet”.

Intrinsieke motivatie

Ondanks dat het een flinke uitdaging is om aan de NIS2-wetgeving te voldoen, is mijn mening dat je intrinsiek gemotiveerd moet zijn om informatiebeveiliging goed op orde te hebben. Het is een kans om als organisatie betrouwbaar in de markt te staan en om de eigen continuïteit te waarborgen. Het is niet de vraag of, maar wanneer je geraakt wordt door een cyberincident. Het is niet te verkopen aan jouw klanten als je geraakt wordt door een incident en je hebt niet de juiste maatregelen genomen, terwijl er een reële dreiging is. Als vitale organisatie moet je jezelf willen wapenen tegen dit soort dreigingen, omdat je een belangrijke partij bent in de maatschappij”, sluit Eberly af.

Ontdek de gevolgen van NIS2 voor jouw organisatie

Wil jij inzicht krijgen in de NIS2-wetgeving, hoe het jouw organisatie raakt en hoe je er een begin mee maakt? Meld je dan aan voor de tweedaagse cursus NIS2 van SBO. Na afloop van deze twee dagen weet jij precies hoe je een start maakt met informatiebeveiliging in je organisatie én weet je hoe je draagvlak creëert bij collega’s. Daarnaast is er voldoende ruimte om ervaringen en gedachten uit te wisselen. Ga je liever gericht aan de slag met je eigen collega’s? Kies dan voor een Incompany-traject op maat.

Over sbo

Het Studiecentrum voor Bedrijf en Overheid (SBO) organiseert jaarlijks zo’n 200 opleidingen en congressen over o.a. onderwijs, veiligheid, milieu & RO, zorg, bouw & infra en overheid.

Bekijk ook

Wat is het verschil tussen een Functionaris Gegevensbescherming en een Privacy Officer?

De Autoriteit Persoonsgegevens stelt dat de rollen van de Functionaris Gegevensbescherming en de Privacy Officer …

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *