NIS2 - Eisen en Trainingen
Met de goedkeuring van de NIS2 richtlijn is een belangrijke Europese stap gezet op het gebied van een meer uniforme cybersecurity. Het doel van deze nog naar Nederlandse wetgeving te vertalen richtlijn, is om een hoger niveau van gemeenschappelijke beveiliging van netwerk- en informatiesystemen in de hele EU te waarborgen en zo de weerbaarheid tegen cyberdreigingen te vergroten.
Momenteel werken we in Nederland nog met de Wet beveiliging netwerk- en informatiesystemen (Wbni). Zodra het Nederlandse wetsvoorstel is goedgekeurd, vervalt de Wbni en geldt voor een breed scala aan organisaties de nieuwe regels van de NIS2.
Houd er rekening mee dat jouw organisatie eerder wellicht niet onder de Wbni viel, maar wel onder de nieuwe Cyberbeveiligingswet (Cbw). In dat geval is er waarschijnlijk best veel werk aan de winkel. Maar ook als je wel al onder de Wbni valt, verandert er veel.
Op deze pagina krijg je een globaal beeld van de eisen van de NIS2 en welke trainingen je kunnen helpen zo snel mogelijk compliant te zijn.
Lees je deze tekst liever in een overzichtelijke pdf of wil je deze op een later tijdstip doornemen? Download dan hier onze whitepaper.
Valt mijn organisatie onder de NIS2-richtlijn of niet?
Een 100% sluitend antwoord hierop is pas te geven zodra de Nederlandse wet is goedgekeurd. In de tussentijd geeft de NIS2 (met name in bijlage I en II) zelf wel al enige duidelijkheid. Ook als toeleverancier van een ‘NIS2 organisatie’ is de impact groot, zelfs al val je zelf niet direct onder de noemer ‘essentiële’ of ‘belangrijke’ entiteit.
De Rijksoverheid heeft een tool ontwikkeld waarmee je een zelf-evaluatie kunt doen, je vindt deze hier: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/
Bestuurlijke aansprakelijkheid
Een belangrijke verandering met consequenties is de bestuurlijke aansprakelijkheid in de NIS2. Doel hiervan is ervoor te zorgen dat cybersecurity prioriteit krijgt op het hoogste niveau van organisaties die onder de NIS2-richtlijn vallen.
Leidinggevenden van organisaties worden persoonlijk verantwoordelijk gehouden voor de naleving van de cybersecurityvereisten die de richtlijn stelt. Dit betekent dat bedrijfsleiders, zoals CEO's en bestuursleden, proactief betrokken moeten zijn bij de implementatie en het handhaven van adequate cybersecuritymaatregelen binnen hun organisatie.
Om hieraan te voldoen is één van de eisen van NIS2 dat deze leidinggevenden verplicht trainingen volgen om (zoals NIS2 letterlijk aangeeft):
“Voldoende kennis en vaardigheden te verwerven om risico’s te kunnen identificeren en risicobeheerspraktijken op het gebied van cyberbeveiliging en de gevolgen ervan voor de diensten die door de entiteit worden verleend, te kunnen beoordelen.”
TSTC heeft diverse oplossingen die je helpen aan deze eis te voldoen. Vaak is maatwerk in een training/workshop op locatie gewenst, waarin bijvoorbeeld een compleet managementteam wordt bijgepraat over informatiebeveiliging, specifieke risico’s, maatregelen en de omgang met incidenten. Neem gerust contact met ons op om de mogelijkheden te bespreken.
Een voorbeeld van een dergelijke incompany training is de training Cbw/NIS2 Governance voor Bestuurders die in een dagdeel op locatie of online kan worden verzorgd. Met deze training sluit je in de basis aan op de genoemde NIS2-eis dat ieder lid van het bestuur van organisaties die onder de richtlijn vallen, een gerichte opleiding over cyberbeveiliging dient te volgen.
Via ons open rooster volg je ook de 2-daagse training Managing NIS2 - Certified NIS2 Professional (CNIS2), waarin je uitgebreid kennismaakt met de NIS2 en alle bijbehorende eisen. Deze training wordt afgesloten met een begeleide GAP-analyse waarin je inzichtelijk krijgt waar nog actie ondernomen moet worden.
Ditzelfde geldt ook voor de uitgebreidere 5-daagse NIS2 Lead Implementer training die minder geschikt is voor bestuurders, maar security managers en -professionals helpt bij de daadwerkelijke implementatie van de gestelde eisen.
Welke verplichtingen schrijft de NIS2-richtlijn voor?
De NIS2-richtlijn schrijft vier verplichtingen voor:
- Registratieplicht
- Zorgplicht
- Meldplicht
- Toezicht
Met name de Zorgplicht en Meldplicht bevatten eisen waarbij onze trainingen je kunnen helpen.
Zorgplicht
Essentiële en belangrijke entiteiten moeten maatregelen nemen om hun netwerk- en informatiesystemen tegen incidenten te beschermen. Hetzelfde geldt voor de fysieke omgeving waarin de systemen zich bevinden.
Hieronder volgen een aantal maatregelen en bijpassende trainingen:
1. Een risicoanalyse en beveiliging van informatiesystemen
- ISO 27005 Certified Risk Manager
- ISO 27001 Lead Implementer
- Certified BIO Professional - Foundation
- Certified BIO Professional - Practitioner
- CRISC - Certified in Risk and Information System Control
2. (Beleid en procedures over) incidentenbehandeling
- ECIH - Certified Incident Handler
- CSA - Certified SOC Analyst
- CISM - Certified Information Security Manager
- CCISO - Certified Chief Information Security Officer
3. Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen
4. Beveiliging van de toeleveranciersketen
- CSSLP - Certified Secure Software Lifecycle Professional
- CCSP - Certified Cloud Security Professional
- CCISO - Certified Chief Information Security Officer
5. Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden
6. Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen
- CISM - Certified Information Security Manager
- CCISO - Certified Chief Information Security Officer
- Lead Cybersecurity Manager
7. Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging
- Cyber & IT Security Foundation
- Certified Ethical Hacker (CEH)
- CCISO - Certified Chief Information Security Officer
- Awareness oplossingen
8. Beleid en procedures over het gebruik van cryptografie en encryptie
9. Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van activa
10. Het gebruik van multifactor-authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
Meldplicht
De NIS2-richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. Hier vloeien een aantal verantwoordelijkheden uit voort die te maken hebben met incident management/handling en monitoring processen:
1. Monitoring - worden incidenten gedetecteerd?
2. Incident Management / Handling - ligt er een plan klaar hoe te handelen bij incidenten?
3. Threat Intelligence - op de hoogte zijn van nieuwe bedreigingen, weten waarop alert te zijn
4. Pentesting - Incidenten voorkomen
Generieke trainingen
We adviseren je in alle gevallen te starten met één van de eerder benoemde, specifieke NIS2 trainingen. Aangezien er vaak meerdere rollen met de richtlijn te maken krijgen, kan het prettig zijn om een training samen met collega’s te volgen zodat de neuzen naderhand dezelfde kant op staan.
Een andere strategie kan zijn om medewerkers afhankelijk van hun rol verschillende trainingen te laten volgen, zodat de juiste kennis op de juiste plekken terecht komt.