‘Als partner van het NIS2 Quality Mark, helpt AuditConnect uw organisatie op weg naar een veilige digitale toekomst.’

Is de NIS2 relevant voor mijn organisatie?

In meer of mindere mate is de kans groot dat uw organisatie in aanraking komt met de NIS2. Dit kan op een directe of indirecte wijze zijn. In bepaalde gevallen zult u zelf moeten voldoen aan de cyberbeveiligingswet en in andere gevallen worden er wellicht via ketenpartners eisen gesteld voor uw informatiebeveiliging.

Of u moet voldoen aan de NIS2-richtlijn hangt af van verschillende factoren, zoals de sector waarin u actief bent en de grootte van uw organisatie.

Sector: De NIS2-richtlijn is van toepassing op organisaties die essentiële diensten leveren in sectoren zoals energie, transport, gezondheidszorg, financiële markten, en digitale infrastructuur. Daarnaast zijn ook belangrijke aanbieders van digitale diensten, zoals cloudcomputing en online marktplaatsen, onder de richtlijn opgenomen.

Grootte van de organisatie: De richtlijn richt zich voornamelijk op grote bedrijven, maar ook kleinere bedrijven kunnen onder de richtlijn vallen als ze een cruciale rol spelen in de toeleveringsketen van essentiële diensten.

Risico’s en impact: Organisaties die een significante impact kunnen hebben op de continuïteit van essentiële diensten of die aanzienlijke risico’s lopen op het gebied van cyberbeveiliging, moeten voldoen aan de NIS2-richtlijn.

Door in gesprek te gaan met onze experts of de ‘NIS2 Zelfevaluatie NL’ te doen weet u of de NIS2 voor uw organisatie van toepassing is.

Waarvoor dient het NIS2 Quality Mark?

Het NIS2 Quality Mark is een certificering die bedrijven helpt om te voldoen aan de eisen van de NIS2-richtlijn, die gericht is op het verbeteren van de beveiliging van netwerk- en informatiesystemen binnen de EU.

De certificering is verdeeld in drie niveaus, afhankelijk van het risiconiveau:

QM10 BASIC: Voor Mkb’s met beperkte risico’s.

QM20 SUBSTANTIAL: Voor bedrijven met verhoogde risico’s door hun rol of toegang tot gevoelige gegevens.

QM30 HIGH: Voor kritieke bedrijven in de toeleveringsketen die een significant risico vormen bij een cyberincident.

Samen kijken we naar op welk niveau passend is bij uw organisatie.

Voordelen

De NIS2 richtlijn richt zich op het verbeteren van maatregelen voor cyberveiligheid, incidentbeheer en toezicht voor entiteiten die essentiële diensten leveren.
Met het NIS2 Quality Mark kunnen organisaties aantonen dat zij voldoen aan de richtlijn, wat transparantie biedt naar andere organisaties.

Het NIS2Quality Mark toont aan dat een organisatie compliant is en zich actief inzet voor de beheersing van cyberrisico’s.

AuditConnect ondersteund u graag bij het implementeren van het Quality Mark en/ of het auditen ervan.

Wat is de NIS2?

De NIS2 staat voor Network and Information Security Directive en heeft als doel om de Europese cyberbeveiliging te versterken. Het is een Europese wet die in Nederland de Cyberbeveiligingswet gaat heten. Zoals de naam al prijsgeeft worden er in deze wet eisen gesteld voor cybersecurity. De specialisten van AuditConnect helpen u graag, met behulp van het NIS2 Quality Mark, om uw organisatie eenvoudig aan deze eisen te laten voldoen.

Belangrijke punten uit de NIS2:

Zorgplicht: Organisaties moeten zelf een risicobeoordeling uitvoeren en passende maatregelen nemen om de continuïteit van hun diensten te waarborgen en de gebruikte informatie te beschermen.

Meldplicht: Incidenten die de continuïteit van dienstverlening aanzienlijk kunnen verstoren, moeten binnen 24 uur worden gemeld bij de toezichthouder.

Toezicht: Organisaties die onder de richtlijn vallen, krijgen verplicht toezicht.

Overeenkomsten en verschillen met de ISO27001 en NEN7510

De NIS2, ISO 27001 en NEN 7510 zijn allemaal normen en richtlijnen die zich richten op informatiebeveiliging. Zij hebben dan ook allen als doel informatie te beveiligen door middel van het implementeren van maatregelen aan de hand van gedefinieerde risico’s. Toch hebben ze verschillende toepassingsgebieden en vereisten.

De verschillen in scope:

NIS2: Richt zich op de beveiliging van netwerk- en informatiesystemen binnen de EU, specifiek voor aanbieders van essentiële diensten en digitale dienstverleners.

ISO 27001: Een internationale standaard voor informatiebeveiligingsmanagementsystemen (ISMS) die van toepassing is op organisaties van alle soorten en maten wereldwijd.

NEN 7510: Specifiek gericht op de gezondheidszorg in Nederland en behandelt de beveiliging van medische en persoonlijke gezondheidsinformatie.

Wettelijk verplicht?

NIS2: Ja, de NIS2 diende sinds oktober 2024 in te gaan. De Nederlandse versie ‘de cyberbeveiligingswet’ gaat van kracht in het derde kwartaal vanaf 2025. Dit geldt niet voor alle organisaties in Nederland, zie ‘Is de NIS2 relevant voor mijn organisatie?’ hierboven.

ISO 27001: Nee, de ISO 27001 is niet wettelijk verplicht, maar veel organisaties kiezen ervoor om gecertificeerd te worden om hun beveiligingsniveau aan te tonen.

NEN 7510: Ja, de NEN7510 is wettelijk verplicht voor zorgorganisaties in Nederland sinds 2008.

Overige verschillen:

Inhoudelijk verschillen de normen en richtlijn wel van elkaar. Echter zien wij in de praktijk dat organisaties die ISO 27001 of NEN7510 al goed op weg zijn om compliant te zijn aan de NIS2. De verschillen? Die kunnen wij toetsen met onze GAP-analyse, waarin wij kijken naar de status van de NIS2-compliancy binnen uw organisatie.

De specialisten van AuditConnect ondersteunen u graag bij het inrichten, implementeren, beheersen en auditen van het NIS2 Quality Mark.