Onze aanpak op NIS2 en hoe wij voldoen

Onze aanpak op NIS2 en hoe wij voldoen

De nieuwe Europese NIS2-richtlijn stelt strengere eisen aan cybersecurity binnen vitale sectoren en digitale dienstverleners. Wij staan volledig achter deze ontwikkeling. Onze aanpak combineert NIS2 met erkende normen zoals ISO/IEC 27001 en IEC 62443-4. Niet alleen om te voldoen aan wetgeving, maar om onze organisatie, keten en klanten weerbaarder te maken.

Onze Positie

Wij vallen onder de categorie Essentiële / Belangrijke Entiteit volgens NIS2. Die classificatie brengt duidelijke verplichtingen met zich mee. Daar zijn wij klaar voor. We zien NIS2 niet als een last, maar als een kans om onze cyberbeveiliging structureel te versterken. Door het te combineren met de risicogestuurde aanpak van ISO 27001 en de technische diepgang van IEC 62443-4, bouwen we aan een sterke en toekomstbestendige basis.

Zo zorgen we voor naleving

Onze cybersecurityaanpak rust op drie pijlers:

  • NIS2: Wetgeving en verplichtingen rond risicobeheer, incidentmelding en ketenbeveiliging.
  • ISO/IEC 27001: Een gecertificeerd informatiebeveiligingssysteem dat zorgt voor continu risicobeheer en verbeteringen.
  • IEC 62443-4: Industriestandaard voor cybersecurity in OT-omgevingen (operationele technologie).

Concreet betekent dat:

  1. Risicobeheer en Governance
    Onze informatiebeveiliging is ISO 27001-gecertificeerd. Risico’s worden periodiek beoordeeld en aangepakt. Cybersecurity valt onder directieniveau en is onderdeel van ons bredere risicobeheer.
  2. Veilige Ontwikkeling en Systemen
    Voor onze OT-omgevingen volgen we IEC 62443-4-1 (secure development) en 62443-4-2 (systeembeveiliging). Beveiliging zit vanaf het begin in het ontwerp.
  3. Incidentdetectie en -melding
    We hebben 24/7 monitoring en duidelijke responsprocedures. We voldoen aan de meldplicht van NIS2 en testen onze processen regelmatig met realistische scenario’s.
  4. Beveiliging van de Keten
    Leveranciers en partners worden getoetst op hun beveiligingsniveau. We hanteren eisen gebaseerd op ISO 27001 en – waar relevant – IEC 62443.
  5. Continuïteit en Herstel
    We hebben plannen voor bedrijfscontinuïteit en herstel die regelmatig worden getest. Deze zijn afgestemd op ISO 27001 én aangepast voor OT-risico’s.
  6. Technische Beveiligingsmaatregelen
    We gebruiken sterke authenticatie, segmentatie, versleuteling en monitoring. Alles is afgestemd op ISO 27001 en IEC 62443-4-2 en wordt regelmatig gecontroleerd.
  7. Bewustwording en Training
    Iedereen in de organisatie speelt een rol in cybersecurity. We geven structureel trainingen en specifieke sessies voor IT- en OT-teams.
  8. Audit en Verbetering
    We documenteren alles zorgvuldig en zijn altijd auditklaar. Onze aanpak is gericht op continue verbetering, niet alleen op minimale naleving.

Vooruitkijken

Cybersecurity is een strategische prioriteit. Door te werken volgens NIS2, ISO 27001 en IEC 62443-4, zorgen we niet alleen dat we aan de regels voldoen – we versterken actief de weerbaarheid van onze organisatie.
Dat is geen kostenpost, maar een investering in stabiliteit, continuïteit en vertrouwen.

NIS2 staat voor de “Network and Information Security Directive 2”, een Europese richtlijn die in 2022 is aangenomen en voortbouwt op de oorspronkelijke NIS-richtlijn uit 2016. Het doel van NIS2 is om de cyberbeveiliging en operationele veerkracht van essentiële en belangrijke sectoren binnen de EU te verbeteren. Dit is vooral belangrijk gezien de toenemende dreiging van cyberaanvallen.

  1. Grotere reikwijdte: De richtlijn geldt niet alleen voor kritieke infrastructuur zoals energie-, transport- en gezondheidszorgsectoren, maar ook voor veel meer “belangrijke” sectoren zoals digitale infrastructuur, afvalbeheer, voedselproductie en zelfs overheidsdiensten.

  2. Strengere eisen aan beveiliging: Organisaties die onder NIS2 vallen, moeten voldoen aan strengere eisen op het gebied van risicobeheer, beveiligingsmaatregelen, incidentrapportage en ketenbeveiliging.

  3. Toezicht en handhaving: Lidstaten moeten toezichthoudende autoriteiten aanwijzen om naleving van NIS2 te controleren, en er kunnen boetes worden opgelegd bij niet-naleving.

  4. Harmonisatie binnen de EU: NIS2 zorgt voor meer uniforme regels in alle EU-landen, zodat er minder verschillen zijn in de beveiligingsvereisten tussen landen.

  5. Rapportageverplichtingen: Organisaties moeten cyberincidenten binnen een bepaalde tijd melden (bijvoorbeeld binnen 24 uur een eerste notificatie) om snelle respons mogelijk te maken.

EU-lidstaten moeten NIS2 vertalen naar nationale wetgeving vóór oktober 2024, dus organisaties in relevante sectoren hebben tot dan om zich voor te bereiden.

Kijk voor meer informatie op de NCSC over NIS2