NIS2 komt dichterbij: waarom afwachten geen logische optie is

Leestijd: 3 minuten

De Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2-richtlijn, is nog geen dagelijkse praktijk voor iedere organisatie. Toch merken wij bij MKB-organisaties steeds vaker dat NIS2-eisen dichterbij komen. Ook wanneer een organisatie zelf niet direct NIS2-plichtig is.2-plichtig is.

Dat komt doordat opdrachtgevers en ketenpartners vaker vragen om aantoonbare maatregelen op het gebied van informatiebeveiliging, risicobeheer en continuïteit. Voor veel MKB-organisaties is dat precies het lastige punt. Er is vaak best al veel geregeld. Denk aan back-ups, toegangsbeheer, antivirussoftware, afspraken met IT-leveranciers of interne werkwijzen rond vertrouwelijke informatie. Alleen is niet altijd duidelijk of dit voldoende is, wie waarvoor verantwoordelijk is en hoe je kunt aantonen dat risico’s structureel worden beheerst.

Daar zit de kern van NIS2.

Direct of indirect geraakt

Een deel van de organisaties krijgt direct met de Cyberbeveiligingswet te maken. Dat geldt bijvoorbeeld voor organisaties in sectoren zoals energie, zorg, transport, digitale dienstverlening en overheid. Daarbij spelen onder meer sector, activiteit, omvang en omzet een rol. Organisaties die onder de Cyberbeveiligingswet vallen, krijgen te maken met een zorgplicht, meldplicht en registratieplicht.

Maar ook organisaties die niet direct onder de wet vallen, kunnen ermee te maken krijgen. NIS2-plichtige organisaties moeten namelijk ook kijken naar risico’s in hun toeleveringsketen. Daardoor kunnen leveranciers en partners vragen krijgen over informatiebeveiliging, continuïteit, toegangsbeheer, back-ups en incidentrespons.

Voor kleinere MKB-bedrijven kan NIS2 dus alsnog relevant worden. Niet omdat zij zelf wettelijk verplicht zijn, maar omdat opdrachtgevers aantoonbaarheid verwachten.

Niet alleen een IT-vraagstuk

NIS2 wordt vaak gezien als een onderwerp voor de IT-afdeling. Dat is begrijpelijk, want de wet gaat over digitale weerbaarheid en beveiliging van netwerk- en informatiesystemen. Toch raakt NIS2 meer dan alleen techniek.

Het gaat ook over risicobeheer, continuïteit, verantwoordelijkheden, incidentafhandeling, leveranciersafspraken en bewustwording binnen de organisatie. Met andere woorden: informatiebeveiliging moet onderdeel worden van de manier waarop je organisatie werkt.

Daarom beginnen wij bij De Vaart niet met een lijst technische maatregelen. We kijken eerst naar de organisatie zelf. Welke processen zijn belangrijk? Welke informatie is kritisch? Waar zitten de grootste risico’s? Wat is er al geregeld? En wat moet beter worden vastgelegd of geborgd?

Pas daarna vertalen we dit naar passende maatregelen.

Aantoonbaarheid wordt belangrijker

De vraag is niet alleen: “hebben we iets geregeld?” De vraag wordt steeds vaker: “kunnen we laten zien dat het goed geregeld is?”

Daarvoor heb je structuur nodig. Geen papieren tijger en geen systeem dat alleen bestaat voor een controle, maar duidelijke afspraken die passen bij de dagelijkse praktijk. Wie is eigenaar van informatiebeveiliging? Hoe worden risico’s beoordeeld? Welke maatregelen zijn genomen? Hoe worden incidenten gemeld? Hoe blijft het systeem actueel?

Een goed ingericht managementsysteem helpt om deze afspraken vast te leggen, te bewaken en periodiek te verbeteren. Niet als los document, maar als onderdeel van de bedrijfsvoering.

Als dit goed is ingericht, ontstaat er meer dan alleen naleving van wet- of klanteneisen. Je krijgt meer grip op je organisatie, meer duidelijkheid in verantwoordelijkheden en een betere basis om bij incidenten snel en zorgvuldig te handelen.

Onze aanpak: praktisch en stap voor stap

Organisatieadviesbureau De Vaart begeleidt organisaties bij het praktisch inrichten van informatiebeveiliging en managementsystemen. Daarbij sluiten we aan op wat er al staat. We bouwen alleen op waar dat nodig is.

Vanuit onze ervaring met ISO 9001, ISO 27001 en praktische managementsystemen helpen we organisaties om informatiebeveiliging aantoonbaar te borgen. Niet met een onnodig zwaar traject, maar met een aanpak die past bij de organisatie.

Heeft je organisatie al een managementsysteem, bijvoorbeeld voor ISO 9001, ISO 14001 of VCA? Dan kunnen we de maatregelen rondom NIS2 en informatiebeveiliging daar goed op laten aansluiten. Zo voorkom je losse documenten of dubbele werkwijzen en blijft het systeem herkenbaar voor de organisatie.

Ons NIS2-stappenplan helpt om overzicht te krijgen en gericht te werken aan aantoonbare informatiebeveiliging. We brengen eerst de huidige situatie in kaart, bepalen waar de risico’s zitten en vertalen dit naar maatregelen die logisch en haalbaar zijn voor de organisatie.

Daarna borgen we deze maatregelen in processen, verantwoordelijkheden en een werkbaar managementsysteem. Zo blijft informatiebeveiliging geen losse actie, maar wordt het onderdeel van de bedrijfsvoering.

chat icon

Onze adviseurs werken in house, waardoor er korte lijntjes
zijn en we echt aanwezig zijn in de organisatie.

De eerste stap

Twijfel je of NIS2 jouw organisatie raakt? Of krijg je al vragen van klanten of ketenpartners over informatiebeveiliging? Dan is het verstandig om nu al in beeld te brengen waar je staat. Ook de Rijksoverheid adviseert organisaties om niet af te wachten tot de Cyberbeveiligingswet in werking treedt, maar nu al aan de slag te gaan met digitale weerbaarheid.

Een eerste inventarisatie geeft vaak snel duidelijkheid. Wat is al geregeld? Waar zitten de risico’s? En welke stappen zijn nodig om informatiebeveiliging aantoonbaar op orde te brengen?

Bekijk het volledige NIS2-stappenplan of neem contact op met je vaste De Vaart-adviseur. In een kort gesprek brengen we samen in beeld wat NIS2 voor jouw organisatie betekent en wat een logische eerste stap is.

Patrick Ockerse van De Vaart, adviseur organisatie- en certificeringsadvies, klaar om je te helpen.

Nog vragen? We helpen je graag verder.

Bel ons op 010 26 88 015 of stuur een e-mail naar info@devaart.nl

Terugbel afspraak

Ook interessant

De Vaart banner

< 1 min. leestijd

Gefeliciteerd Promax IT!

Gefeliciteerd @Promax IT met het behalen van jullie ISO27001 en NEN7510 certificering! We vonden het ontzettend leuk om jullie hierin te begeleiden.

Organisatieadvies door De Vaart voor MKB bedrijven met focus op managementsystemen en certificering

3 min. leestijd

Volle dagen, stilstaand bedrijf

Veel MKB-bedrijven draaien volle dagen, maar komen nauwelijks toe aan structurele verbetering. De operatie vraagt continu aandacht, waardoor verbeterwerk blijft liggen. In deze blog lees je waarom dit gebeurt en hoe je met kleine, vaste momenten toch stappen kunt maken in de ontwikkeling van je organisatie.

EcoVadis Platinum-medaille

< 1 min. leestijd

De Vaart behaalt EcoVadis Platinum-medaille!

Met trots delen we dat De Vaart is bekroond met de EcoVadis Platinum-medaille voor duurzaamheid en maatschappelijk verantwoord ondernemen! 🌱🏆 EcoVadis beoordeelt bedrijven wereldwijd op …

Lees meer

Voorwaarden(Vereist)
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

De Vaart wit
Grip op organisaties
EcoVadis erkenning van Organisatieadviesbureau De Vaart BV voor duurzaam en maatschappelijk verantwoord ondernemen
Linkedin icoon