NIS2
Naleving van NIS2 hoeft niet ontmoedigend te zijn. Met ComplyCloud kun je het proces stroomlijnen, waardoor je snel NIS2-vereisten kunt ontdekken en taken, controles en documentatie moeiteloos kunt automatiseren. Bespaar tijd en middelen terwijl je compliance excellentie bereikt. Begin vandaag nog aan je reis naar NIS2-naleving.
“Aan de slag gaan met ComplyCloud was eenvoudig omdat hun gedefinieerde raamwerk de weg naar NIS2-compliance uitstippelt.”
“Dankzij ComplyCloud besteed ik nu nog maar 3-4 uur per maand aan IT-compliance. En het neemt geen tijd weg van al mijn andere taken.”
“ComplyCloud was snel met een NIS2-oplossing, dus ik vond het voor de hand liggend om al het compliance-werk in één platform te hebben dat we al kenden.”
“Het taakbeheer (jaarwiel) maakt het voor ons gemakkelijk om onze compliance-werklast te plannen en uit te voeren. Umbraco heeft veel gegevensverwerkers waardoor eenvoudig beheer en overzicht essentieel zijn.”
“ComplyCloud heeft het ons gemakkelijk gemaakt om een overzicht te krijgen van onze verplichtingen, juridische documenten op te stellen en deze continu up-to-date te houden.”
“Als hightechbedrijf in de gezondheidszorg worden we op verschillende fronten gereguleerd en ComplyCloud toonde vanaf het begin een goed begrip van de complexiteit van de regelgeving.”
“We hebben ComplyCloud meer dan een jaar geleden geïmplementeerd met als doel het voor ons gemakkelijk te maken om het beleid en de procedures te creëren en te onderhouden die vereist zijn door de GDPR-verordening. De GDPR-software van ComplyCloud is precies de hulp gebleken die we zochten met als doel de werking van onze GDPR-werkzaamheden te stroomlijnen en te kwalificeren.”
“ComplyCloud is een game-changer geweest voor onze organisatie. Sinds we ComplyCloud gebruiken, is het hele proces van compliance management efficiënter en beter beheersbaar geworden.”
“Onze klanten eisen onder andere dat we een auditverklaring kunnen overleggen en ComplyCloud helpt ons daar ook bij. Het wordt snel en efficiënt afgehandeld binnen de software, waardoor de kosten aanzienlijk lager zijn, zeker in vergelijking met wanneer we het zelf zouden proberen te doen.”
Hoewel we nog definitieve richtlijnen nodig hebben voor NIS2, zijn we op de hoogte van de algemene taken en controles die nodig zijn voor naleving. Je kunt op de juiste manier beginnen door je volledige taken en controles toe te voegen met slechts één klik.
NIS2 is een uitgebreid framework, en je zult voorlopig niet zonder werk zitten. We automatiseren de herhalende taken en controles en besparen je tot 80% van de tijd en middelen die nodig zijn voor handmatige processen. Op die manier kun je je richten op de bedrijfskritieke kwesties in je organisatie die niet geautomatiseerd kunnen worden.
Krijg gemoedsrust door dezelfde gestructureerde methodologie en best practices te volgen bij het voldoen aan NIS2. Je NIS2-taken, controles en documenten werken automatisch samen en integreren met je andere nalevingsmaatregelen.
NIS2 heeft invloed op alle entiteiten die essentiële of belangrijke diensten leveren aan de Europese economie en samenleving, waaronder bedrijven en leveranciers binnen Transport, Energie, Bankwezen en financiële marktinfrastructuur, Gezondheidszorg, Watervoorziening, Openbare administratie (centrale en regionale niveaus), Afvalbeheer, en Post- en koeriersdiensten.
De NIS2 bevat veel regels en, aangezien het een richtlijn is, moeten deze regels worden geïmplementeerd via nationale wetgeving voordat we het volledige beeld kunnen krijgen. Daarom kan het erg lastig zijn om te begrijpen wat je moet doen en waar te beginnen.
De vereisten zullen betrekking hebben op zeer uiteenlopende zaken zoals beleidslijnen, risicobeoordelingen, leveranciersbeheer, bewustzijnstraining. Zonder veel kennis en ervaring zal het onmogelijk zijn om te weten hoe je aan al die eisen kunt voldoen.
Om zelf aan NIS2 te voldoen, moet je tijd vinden om een groot aantal documenten voor te bereiden en te onderhouden, risicobeheer uit te voeren en je toeleveringsketens bij te houden en je werknemers te trainen – handmatig.
Samen met ons InfoSec- en juridisch team zorgen we ervoor dat je tijdens je onboarding voldoet aan alle vereisten voor governance, documenten en taakplanning. Daarna kun je genieten van gratis ondersteuning – onze juridische en technische teams staan voor je klaar om je te helpen.
Ontvang een op maat gemaakt gap-analyserapport van je naleving van de NIS2-regelgeving,
en begrijp welke gebieden je moet aanpakken.
De NIS1-richtlijn werd geïntroduceerd als de eerste cybersecuritywetgeving van de EU om de weerstand van netwerk- en informatiesystemen tegen cyberrisico’s te verbeteren. Echter, de COVID-19 pandemie heeft het scala aan bedreigingen uitgebreid, wat de ontwikkeling van nieuwe maatregelen noodzakelijk maakte.
De Europese Commissie erkende bepaalde tekortkomingen in de bestaande NIS1, waaronder:
Als gevolg daarvan heeft de Commissie in december 2020 nieuwe regelgeving voorgesteld om de cyberweerbaarheid binnen de EU te versterken, die vervolgens in november 2022 is aangenomen.
De NIS2 is een richtlijn, wat betekent dat deze moet worden geïmplementeerd via nationale wetgeving. De lidstaten van de EU moeten dit doen vóór 18 oktober 2024.
De NIS2-richtlijn omvat entiteiten uit de volgende sectoren:
Essentiële sectoren:
Belangrijke sectoren:
Hoewel zowel essentiële als belangrijke sectoren zich aan dezelfde beveiligingsmaatregelen moeten houden, is er een verschil in het niveau van toezicht. Entiteiten die zijn geclassificeerd als “essentieel” zijn onderworpen aan proactief toezicht, wat betekent dat ze regelmatig worden gecontroleerd om naleving te waarborgen. Aan de andere kant worden “belangrijke” entiteiten alleen gemonitord naar aanleiding van gemelde incidenten van niet-naleving.
Deze differentiatie heeft tot doel de continue werking en veerkracht van kritieke diensten te prioriteren, terwijl tegelijkertijd wordt gewaarborgd dat alle entiteiten de noodzakelijke beveiligingsmaatregelen handhaven om zich te beschermen tegen cyberbedreigingen.
De NIS2 legt een uitgebreid kader vast voor toezichts- en handhavingsactiviteiten in de lidstaten.
Bevoegde autoriteiten zijn verantwoordelijk voor het toezicht op de naleving van de voorschriften door essentiële en belangrijke entiteiten. Toezichtsmaatregelen omvatten audits, controles, informatieverzoeken en toegang tot documenten.
De richtlijn introduceert een consistent kader voor sancties, waaronder bindende instructies, uitvoering van aanbevelingen uit beveiligingsaudits, afstemming met NIS-vereisten en administratieve boetes.
Administratieve boetes variëren op basis van de classificatie van de entiteit, waarbij essentiële entiteiten boetes tot € 10.000.000 of 2% van de jaaromzet kunnen krijgen, en belangrijke entiteiten boetes tot € 7.000.000 of 1,4% van de jaaromzet.
Toezichthoudende autoriteiten moeten bij het uitoefenen van handhavingsbevoegdheden rekening houden met de aard en ernst van de overtreding en eventuele schade of verliezen.
In tegenstelling tot de GDPR, houdt de NIS2 ook natuurlijke personen in senior managementposities binnen gedekte entiteiten verantwoordelijk.
NIS2 richt zich op het verbeteren van het cyber-risicobeheer door middel van duidelijke verantwoordelijkheden, effectieve planning en verbeterde samenwerking binnen de EU.
Om dit te bereiken, verplicht NIS2 lidstaten om nationale autoriteiten aan te wijzen die verantwoordelijk zijn voor het beheer van cybercrises. Het introduceert ook de eis voor nationale plannen voor incidenten en crises op het gebied van cybersecurity op grote schaal.
Daarnaast stelt NIS2 het Europese netwerk van cybercrisisverbindingsorganisaties (EU-CYCLONe) in. Dit netwerk speelt een cruciale rol in het cybercrisisbeheersingskader van de EU en faciliteert gecoördineerde reacties op significante cybersecurity-incidenten en crises.
De combinatie van aangewezen autoriteiten, nationale responsplannen en het EU-CYCLONe-netwerk zorgt voor een meer gecoördineerde en efficiënte aanpak van het beheer van grootschalige cybersecurity-incidenten en crises in de Europese Unie.
NIS2 zal de cybersecurityvereisten voor gedekte entiteiten versterken en stroomlijnen door van alle bedrijven te eisen dat ze een kernset van 10 minimale vereisten aanpakken in hun beleid voor cybersecurityrisicobeheer.
Deze elementen omvatten incidentafhandeling, beveiliging van de toeleveringsketen, behandeling en openbaarmaking van kwetsbaarheden, en het gebruik van cryptografie. NIS2 omvat ook een meertrapsbenadering van incidentrapportage, die een balans vindt tussen snelle rapportage om de verspreiding van incidenten te voorkomen en gedetailleerde rapportage om waardevolle lessen te trekken.
Getroffen bedrijven hebben 24 uur de tijd om een vroegtijdige waarschuwing in te dienen, 72 uur om een incidentmelding in te dienen en een maand om een eindrapport in te dienen. Dit zal helpen om de extra last voor bedrijven die in meerdere lidstaten actief zijn te verminderen en ervoor te zorgen dat alle bedrijven voldoen aan de noodzakelijke cybersecurityvereisten.
Het automatiseren van NIS2-naleving kan helpen om het proces voor gedekte entiteiten te stroomlijnen en te vereenvoudigen. ComplyCloud ontwikkelt momenteel een krachtig hulpmiddel om precies dit te doen.
Hieronder hebben we gebieden opgesomd waar we een groot potentieel zien om u te helpen bij het automatiseren en stroomlijnen van uw NIS2-naleving: