Overslaan en naar de inhoud gaan

NIS2 verplichtingen voor ondernemers Voorbereiding en maatregelen

Als ondernemer moet u de juiste voorbereidingen en maatregelen treffen om NIS2 te kunnen implementeren en te onderhouden. Zo heeft u onder andere een zorgplicht, een meldplicht en zijn er tien voorwaarden vastgelegd waaruit duidelijker wordt waaraan uw onderneming moet voldoen

NIS2 richtlijnen | cybersecurity | TVM verzekeringen

De zorgplicht

De zorgplicht houdt in dat u vanuit de NIS2 wetgeving verplicht bent om een risicobeoordeling uit te voeren. Dit betekend dat moet worden nagegaan welke delen van uw systemen en gegevens kwetsbaar zijn voor een cyberaanval. Als dit in beeld is gebracht moeten er geschikte technische, organisatorische en operationele maatregelen genomen worden die helpen om uw diensten te waarborgen en uw netwerk en informatiesysteem te beschermen.

De meldplicht

Meldplicht wil zeggen dat incidenten binnen 24 uur na ontdekking gemeld moeten worden bij de toezichthouder.

De 10 voorwaarden

In de NIS2-richtlijnen zijn tien voorwaarden vastgelegd waaruit duidelijker wordt waaraan uw onderneming moet voldoen om cybercriminaliteit te voorkomen of snel tegen te kunnen gaan. 

  1. Beleid van risicoanalyse en beveiliging van informatiesystemen: het maken van duidelijke regels en procedures om de risico’s te begrijpen en te minimaliseren.
  2. Incidentenbehandeling: het weten hoe snel en effectief te reageren als er iets misgaat.
  3. Bedrijfscontinuïteit: ervoor zorgen dat er altijd gewerkt kan worden, zelfs tijdens een cyberaanval of andere vormen van cybercriminaliteit.
  4. Beveiliging van toeleveringsketen: zorgen dat partners en leveranciers ook veilig zijn en voorkomen dat zij in gevaar worden gebracht.
  5. Beveiliging van het ontwikkelen, onderhouden en verwerken van netwerk- en informatiesystemen: zorgen dat systemen veilig zijn tijdens bouw, gebruik en updates.
  6. Beleid en procedures voor het beoordelen van maatregelen tegen cyberrisico's: regelmatig controleren of beveiligingsmaatregelen nog steeds effectief zijn.
  7. Basispraktijken voor cyberhygiëne en training in cyberbeveiliging: iedereen binnen het bedrijf moet de gewoonte hebben veilig met technologie om te gaan.
  8. Beleid en procedures voor het gebruik van cryptografie en encryptie: alle gegevens en documenten moeten veilig worden versleuteld.
  9. Beveiligingsaspecten met betrekking tot personeel, toegangsbeleid en activabeheer: ervoor zorgen dat alleen de juiste en betrouwbare mensen toegang hebben tot systemen en gegevens.
  10. Multifactor-authenticatie en beveiligde communicatie: extra beveiligingsmaatregelen nemen, zoals het gebruik van meerdere stappen om in te loggen, versleutelde communicatie en een noodcommunicatiesysteem.