Richtlijnen naleven is belangrijk met NIS2

De nieuwe NIS2-richtlijn heeft nogal wat om het lijf. Zo zullen niet alleen meer organisaties te maken krijgen met deze richtlijn, ook zal er strengere handhaving zijn en zijn er consequenties bij het niet naleven van de richtlijn. Tevens is het belangrijk dat u weet wat u moet doen als er toch een keer een incident plaatsvindt. Daarom vindt DSE IT-Services het belangrijk om u hiervan op de hoogte te brengen. 

Naleven van de richtlijn NIS2

De vernieuwde NIS kent bepaalde verplichtingen voor organisaties die onder de NIS2 vallen. Zoals de zorgplicht en de meldplicht. Een organisatie dient een risicobeoordeling uit te voeren en op basis hiervan passende maatregelen te treffen. Dit alles om de beveiliging te optimaliseren en een cybercrime te voorkomen. Onder de zorgplicht valt ook het trainen van de medewerkers op cybersecurity. Wat moet er gebeuren bij een incident en hoe kunnen risico’s vermeden worden? DSE IT-Services kan u met beveiligingsadvies helpen om aan de zorgplicht te voldoen. Om dit allemaal te waarborgen is er toezicht op de organisaties die zich hieraan moeten houden. 

Voor Essentiële entiteiten geldt een strengere toezicht dan voor Belangrijke entiteiten. Zo geldt voor eerstgenoemde dat er zowel voor- als achteraf toezicht wordt gehouden, omdat de impact groter zal zijn voor de maatschappij en economie wanneer een van deze entiteiten uitvalt. 

Het handhaven van de richtlijn wordt door de toezichthouder onder andere gedaan door het uitvoeren van beveiligingsaudits en -scans. Ook kunnen ze informatie verzoeken indienen om de risicobeheersmaatregelen van een organisatie te beoordelen. 

Toch een incident?

Het kan gebeuren dat u ondanks alle maatregelen toch te maken krijgt met een incident. Laten we dan eerst uiteen zetten hoe u moet handelen wanneer u hiermee te maken krijgt, voordat we de consequenties gaan bespreken. Na het vaststellen van een incident dat de dienstverlening van uw organisatie aanzienlijk kan verstoren, moet u dit binnen 24 uur melden bij de toezichthouder. Op dit moment wordt er door het Nationaal Cyber Security Centrum (NCSC) gewerkt aan een centraal registratiepunt. Tevens meldt u het aan uw eigen Computer Security Incident Response Team (CSIRT). Maar hoe weet u of een incident grote gevolgen heeft?
U kunt de volgende punten als houvast nemen: 

  • De tijdsduur van het incident
  • Het aantal personen dat met de storing te maken krijgt
  • Eventuele financiële verliezen

Hoewel deze punten vaststaan, kan er nog nadere regelgeving per sector bijkomen. Door verschillende vakdepartementen worden deze op dit moment nog verder uitgewerkt. DSE IT-Services zal u, zodra er meer bekend is, hiervan op de hoogte stellen. 

Het eigen CSIRT kan u bij incidenten direct hulp- en bijstand leveren. 

Niet naleven van de richtlijn heeft gevolgen

Het is al heel vervelend wanneer u wél de richtlijnen naleeft en toch te maken krijgt met een incident. Maar wanneer u onder de NIS2 valt maar de richtlijnen niet naleeft, dan heeft dat grote gevolgen. Organisaties die zich niet aan de richtlijn houden kunnen sancties opgelegd krijgen. Dit zijn niet alleen financiële sancties, ook kunnen ze invloed hebben op personen op directieniveau. 

Wanneer er financiële sancties uitgedeeld worden, dan moet eerst gekeken worden of de organisatie onder een essentiële of belangrijke entiteit valt. Voor een essentiële entiteit zal de boete op een minimum van 10 miljoen euro liggen of 2% van de totale omzet. Dit is afhankelijk vguidean wat het hoogste is voor de entiteit. Bij belangrijke entiteiten zal de boete op een minimum van 7 miljoen euro liggen of 1,4% van omzet. 

Als een organisatie zich niet aan de verplichtingen van de richtlijn houdt, dan is er naast de boetes ook persoonlijke aansprakelijkheid voor personen op directieniveau. Tevens kan er sprake zijn van een strafrechtelijke aansprakelijkheid. 

U merkt dat deze richtlijn niet voor niets in het leven is geroepen en dat de gevolgen aanzienlijk zijn wanneer deze niet nageleefd worden. DSE IT-Services kan samen met u ervoor zorgen dat uw organisatie klaar is voor de NIS2. Neemt hiervoor contact op met een van onze medewerkers via 0251-278990 of via info@dseit.nl.

Vorig bericht
Remco van Musscher, NIS2-kenner van DSE IT-Services, aan het woord
Volgend bericht
Computer Security Incident Response Teams, oftewel CSIRT’s

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Dit is een verplicht veld
Dit is een verplicht veld
Geef een geldig e-mailadres op.