.



SoftwareOne signaleert vijf misvattingen rond NIS2

softwareone-500275

SoftwareOne, een vooraanstaande wereldwijde leverancier van software en cloudoplossingen, helpt organisaties met het voldoen aan de nieuwe ‘Network and Information Security’-richtlijn, ook wel bekend als NIS2. Organisaties die van essentieel of vitaal belang zijn voor de maatschappij moeten voldoen aan de nieuwe richtlijn, en dat blijkt niet eenvoudig. Bovendien is er nogal wat informatie-‘ruis’ en worden er onwaarheden gedeeld. SoftwareOne signaleert vijf veelvoorkomende misverstanden, en beschrijft hoe het werkelijk zit.

1 - NIS2 is een taak voor IT

Dit is onjuist. NIS2 raakt de hele organisatie. De afdeling IT is medeverantwoordelijk voor het uitvoeren van risicobeheersing en de bijbehorende techniek. Directie en management moet waken over de continuïteit van de organisatie en informatiesystemen. Zij hebben als taak om het beleid op te stellen, goed te keuren, te controleren en budget toe te kennen. Ook raakt het bijvoorbeeld de HR-afdeling, waar niet alleen security awareness-training worden geregeld, maar ook het tijdig doorgeven van uitdienstmeldingen, zodat systeemrechten direct ingetrokken worden.

2 - Met NIS2 weet de overheid alles van mijn organisatie

Nee, dat klopt niet. Vanuit NIS2 heeft de overheid diverse expertise centers aangewezen, zoals o.a. CERT (Computer Emergency Response Team), voor het delen van kennis en het geven van advies. Ook treden zij op als meldpunt. Pas bij het constateren van een NIS2-incident geldt de meldplicht. Dan moet je organisatie een zo compleet mogelijk technisch gedetailleerd verslag uitbrengen. Het doel is om de impact van het incident, risico’s voor onze maatschappij en het economisch verkeer goed in te schatten. Het gaat dus alleen om technische informatie.

3 - NIS2 implementeren kost veel tijd en geld

Dat kan, maar hoeft niet. Als je organisatie al werkt volgens een IT gerelateerde ISO- of NEN-normering geeft dit je een grote voorsprong. Dan ligt de nadruk met name op de technische inrichting en de NIS2 Meldplicht. Veel organisaties hebben al een prima IT-omgeving, maar zullen wel extra budget moeten inzetten om hun veiligheidsgraad te verhogen. Denk aan extra licenties, redundante techniek, kosten voor implementatie maar ook aan awareness trainingen en simulatietesten.

Als de organisatie niet hoeft te voldoen aan een IT gerelateerde ISO- of NEN-normering, is het toch belangrijk om de processen en technische inrichting goed te documenteren en regelmatig te evalueren.

4 - NIS2 leidt tot boetes

Ja, als NIS2 niet eind oktober 2024 volledig is ingericht, is de organisatie in overtreding. Dit kan leiden tot een geldboete van een paar procent van de jaaromzet tot vele miljoenen. Als advies vanuit het CERT niet wordt opgevolgd, volgen er waarschuwingen en worden boetes verhoogd. Naast een geldboete geldt er ook persoonlijke aansprakelijkheid indien de verantwoordelijke functionaris bij herhaling geen verbetering doorvoert.

5 - NIS2 komt nu niet uit, we wachten op NIS3

Dit is heel onverstandig. Met NIS2 hebben de Europese Lidstaten een duidelijk signaal gegeven dat cyberrisico’s niet te onderschatten zijn en grotere schades opleveren. Het is de verwachting dat binnen enkele jaren een verdere NIS2 verzwaring doorgevoerd gaat worden. Die zal dan mogelijk NIS3 gaat heten. Nederland, als zelfstandig lidstaat binnen de EU, kan op specifieke onderdelen meer nadruk of urgentie doorvoeren, zoals Nederland dat ook heeft gedaan met de AVG. Om eventuele achterstand niet verder te laten oplopen is het advies serieus aan de slag te gaan met NIS2.

Dennis van Leeuwen, solutions specialist Digital Workplace bij SoftwareOne: “NIS2 heeft als doel de Europese digitale en economische weerbaarheid te verbeteren. De richtlijn zorgt voor een flink aantal wijzigingen op het gebied van cybersecurity. Wij helpen organisaties bij het voldoen aan de nieuwe richtlijn en merken dat er hier en daar onjuiste denkbeelden bestaan. Het is belangrijk goede informatie te verkrijgen Het gaat niet alleen om overheidsdiensten, zorginstellingen of waterbeheerbedrijven, maar bijvoorbeeld ook om energieaanbieders en bedrijven die actief zijn in de financiële- of transportsector. Als je niet aan NIS2 voldoet, loopt je het risico op grote boetes en ben je bovendien persoonlijk aansprakelijk. Het is dus essentieel om goed geïnformeerd te zijn.”

Dossiers
Meer over
Lees ook
De naderende NIS2-deadline: dit is wat je moet weten

De naderende NIS2-deadline: dit is wat je moet weten

De implementatiedeadline van NIS2 staat op 17 oktober en nadert dus snel. Nederland voert deze richtlijn in als Cybersecuritywet (Cbw). Carl Leonard, Cybersecuritystrateeg bij Proofpoint voor de EMEA-regio, gaat verder in op de implementatie van NIS2 en de impact op organisaties die aan de nieuwe maatregelen moeten voldoen.

Lancering NIS2 Quality Mark-keurmerk

Lancering NIS2 Quality Mark-keurmerk

Vandaag is officieel het NIS2 Quality Mark in Europa gelanceerd. Dit in Nederland ontwikkelde keurmerk biedt mkb-bedrijven in Europa de mogelijkheid te voldoen aan de Europese NIS2-cybersecuritywetgeving, zonder het risico dat zij zich hierbij overkwalificeren. Het keurmerk waarborgt de positie van (mkb-) ondernemingen in de toeleveringsketen.

Hoe de NIS2 de Impact van de mislukte CrowdStrike-update had kunnen verminderen… of vergroten

Hoe de NIS2 de Impact van de mislukte CrowdStrike-update had kunnen verminderen… of vergroten

Afgelopen maand leidde een mislukte update van de CrowdStrike-software tot aanzienlijke problemen wereldwijd. Het incident, dat werd bestempeld als de grootste IT-storing ooit en maakte miljoenen Windows-apparaten onbruikbaar. Op basis van de 4 miljoen crash rapportages die Microsoft ontving op 19 juli, schatte Microsoft dat in totaal ongeveer 8,51