02/06/2021
Jouw IT uitbesteden? Vier dingen om op te letten
Waar moet je op letten en wat is het alternatief voor IT uitbesteden? Lees het in dit artikel.
Blog
De term NIS2 is je vast niet onbekend. Eigenlijk doen we het al, want NIS1 is al enige tijd van kracht, waardoor we bekend zijn met de basisprincipes. Bij NIS2 wordt er een hoger niveau verwacht, wat gunstig is gezien het toenemende belang van Cyber Security. Niemand wil immers het slachtoffer worden van een datalek waarbij alle gegevens op straat komen te liggen. We moeten en willen volwassener worden als het gaat om Cyber Security.
Alleen laten zien dat je een firewall hebt draaien of gebruik maakt van 2FA is straks niet meer voldoende om te bewijzen dat je serieus met security bezig bent. In het tijdperk van NIS2 wordt er meer van je verwacht, zoals het opstellen van een beleid voor risico-inventarisatie. Dit houdt in dat je de risico’s classificeert op basis van hun ernst, passende maatregelen implementeert, deze maatregelen monitort en aantoonbaar maakt. Ook ketenverantwoordelijkheid speelt hierbij een belangrijke rol. Als jouw klanten moeten voldoen aan deze regelgeving, geldt dit ook voor jou.
Waarschijnlijk hoef je dus niet veel extra stappen te zetten die je momenteel nog niet onderneemt. Als je ISO- of NEN-gecertificeerd bent, zul je merken dat je al een groot deel van de vereisten geïntegreerd hebt. De focus ligt nu meer op het verhaal eromheen dat voortkomt uit een gedegen risicoanalyse, de zorgplicht. Het proces dient nauwkeurig te zijn beschreven en ondersteund te worden door de gehele organisatie. Het is essentieel voor organisaties om proactief te handelen en passende beveiligingsmaatregelen te implementeren om de integriteit en vertrouwelijkheid van gevoelige gegevens te waarborgen en mogelijke cyberaanvallen te voorkomen. Deze aspecten zorgen ervoor dat een organisatie op een andere manier naar Cyber Security kijkt.
Vanaf 1 juli 2025 moet je, als je onder de NIS2 valt, aan de regelgeving voldoen. Hoewel de wetgeving nog op zich laat wachten, hebben we al een duidelijk inzicht in wat er in de toekomst van ons verwacht wordt. Er is geen reden om te stressen; we moeten juist op een andere manier naar Cyber Security kijken dan we wellicht in het verleden deden. Iedereen moet zelf aan de slag, aangezien het nemen van maatregelen gebaseerd dient te zijn op een gedegen risicoanalyse. We kunnen wel vertellen waar je op moet letten, maar het uitvoeren kan je als bedrijf alleen zelf doen. Dit kan een uitdaging zijn. Hoe voer je dit uit en hoe verbind je de risicoanalyse met de genomen maatregelen? Het is ook essentieel om aan te kunnen tonen dat deze maatregelen daadwerkelijk geïmplementeerd en gemonitord worden, om zo conclusies te kunnen trekken over hun effectiviteit of gebrek daaraan, en daarop te kunnen blijven sturen.
Op welke wijze je daardoor geraakt wordt, hangt sterk af van de sector waarin je actief bent en of je voldoet aan de overige criteria. Indien dit het geval is, dien je je te registreren en vervolgens naar je leveranciers te kijken. Het is mogelijk dat je bepaalde zaken hebt uitbesteed, en ook die leveranciers moeten aan de regels voldoen. Andersom kunnen klanten die onder NIS2 vallen aan jou vragen hoe je hiermee omgaat. Je bent verantwoordelijk om dit te controleren en ervoor te zorgen dat dit in orde is. Dit wordt ketenverantwoordelijkheid genoemd. Als je dus op de een of andere manier voldoet aan de criteria, wacht dan niet af en informeer jezelf. Mogelijk heb je al bepaalde certificeringen waardoor veel zaken al geregeld zijn. Doe ook onderzoek naar aansprakelijkheid en boetes.
We weten dat NIS2 onderverdeeld kan worden in vier hoofdonderdelen: zorgplicht, meldplicht, toezicht en registratieplicht. Voor de zorgplicht moet een risicobeoordeling uitgevoerd worden en dienen er passende maatregelen genomen te worden om diensten te waarborgen en informatie te beschermen. Door een grondige risicobeoordeling kunnen bedrijven potentiële kwetsbaarheden en bedreigingen binnen hun netwerken en informatiesystemen identificeren. Het doel hiervan is om de verantwoordelijkheden in kaart te brengen om onaangename verrassingen te voorkomen. De meldplicht omvat onder andere het melden van significante incidenten binnen 24 uur, een gedetailleerde beoordeling binnen 72 uur en het opstellen van een evaluatie inclusief maatregelen binnen 1 maand na het incident. Er wordt gestreefd naar de aanstelling van een toezichthouder om verschillende Rijkswetten en -regels te harmoniseren, wat administratieve lasten in meerdere sectoren kan voorkomen. Alle bedrijven die onder de NIS2-richtlijn vallen, dienen zich te registreren. Deze registraties bieden een duidelijk overzicht van het aantal entiteiten onder de NIS2, zowel op nationaal als Europees niveau.
Als jouw bedrijf onder de NIS2-richtlijnen valt of zou kunnen vallen, kan je aan de slag gaan met de volgende punten:
Uiteindelijk willen we deze materie implementeren om het online landschap zo goed mogelijk te beschermen en te handhaven. Het maken van risicoanalyses kan hierbij alleen maar helpen, waardoor het verbetert en je betere beslissingen kunt nemen. Op deze manier kan je als bedrijf er op een meer effectieve manier mee omgaan. Bij Cyso begrijpen we jouw vraagstuk en kunnen we je helpen bij het beantwoorden van vragen die daaruit voortkomen. We zijn goed in staat om samen met jou te bepalen wat onder jouw verantwoordelijkheid valt en wat onder de verantwoordelijkheid van je leverancier valt en welke maatregelen je hiervoor moet nemen. Neem contact op, Cyso staat altijd klaar om met je mee te denken.