| Cookie | Duur | Beschrijving |
|---|---|---|
| cookielawinfo-checkbox-analytics | 11 maanden | Deze cookie wordt ingesteld door de GDPR Cookie Consent plugin. De cookie wordt gebruikt om de toestemming van de gebruiker voor de cookies in de categorie "Analytics" op te slaan. |
| cookielawinfo-checkbox-functioneel | 11 maanden | De cookie wordt ingesteld door GDPR cookie consent om de toestemming van de gebruiker voor de cookies in de categorie "Functioneel" vast te leggen. |
| cookielawinfo-checkbox-nodig | 11 maanden | Deze cookie wordt ingesteld door GDPR Cookie Consent plugin. De cookie wordt gebruikt om de toestemming van de gebruiker voor de cookies in de categorie "Noodzakelijk" op te slaan. |
| cookielawinfo-checkbox-andere | 11 maanden | Deze cookie wordt ingesteld door GDPR Cookie Consent plugin. De cookie wordt gebruikt om de toestemming van de gebruiker voor de cookies in de categorie "Overig" op te slaan. |
| cookielawinfo-checkbox-prestatie | 11 maanden | Deze cookie wordt ingesteld door GDPR Cookie Consent plugin. De cookie wordt gebruikt om de toestemming van de gebruiker op te slaan voor de cookies in de categorie "Prestaties". |
| bekeken_cookie_beleid | 11 maanden | De cookie wordt ingesteld door de GDPR Cookie Consent plugin en wordt gebruikt om op te slaan of de gebruiker al dan niet heeft ingestemd met het gebruik van cookies. Er worden geen persoonlijke gegevens opgeslagen. |
EU NIS 2 - Een gids voor naleving van AI
-
-
-
-
-
5.0De NIS 2-richtlijn (Richtlijn (EU) 2022/2555) zorgt voor een aanzienlijke actualisering en uitbreiding van de verplichtingen op het gebied van cyberbeveiliging en risicobeheer in de hele Europese Unie en trekt de oorspronkelijke NIS-richtlijn (Richtlijn (EU) 2016/1148) in. De richtlijn introduceert uitgebreide maatregelen die gericht zijn op het bereiken van een hoog gemeenschappelijk niveau van cyberbeveiliging in alle lidstaten en die de werking van de interne markt verbeteren door middel van verbeterde beveiligingsprotocollen en mogelijkheden om op incidenten te reageren.
De NIS 2-richtlijn (Richtlijn (EU) 2022/2555) is in werking getreden op 16 januari 2023, 20 dagen na de bekendmaking ervan in het Publicatieblad van de Europese Unie op 27 december 2022. De lidstaten moeten de richtlijn uiterlijk op 17 oktober 2024 in nationale wetgeving hebben omgezet. .
De toepassing begrijpen
De richtlijn is van toepassing op zowel publieke als private entiteiten die worden aangemerkt als “essentiële” of “belangrijke” entiteiten in verschillende sectoren, zoals energie, vervoer, gezondheid en digitale infrastructuur. Dit omvat aanbieders van openbare elektronische communicatienetwerken, aanbieders van vertrouwensdiensten en aanbieders van domeinnaamsysteemdiensten, ongeacht hun omvang. Overheidsinstellingen, vooral op het niveau van de centrale overheid, vallen ook onder specifieke voorwaarden onder de richtlijn. De lidstaten moeten een lijst van essentiële en belangrijke entiteiten opstellen en regelmatig bijwerken.
De verplichte partijen identificeren
Onder de NIS 2-richtlijn zijn bedrijven verplicht om aan de vereisten te voldoen als ze als “middelgrote onderneming” kunnen worden aangemerkt of als ze de plafonds voor middelgrote ondernemingen, zoals gedefinieerd in artikel 2 van de bijlage bij Aanbeveling 2003/361/EG, overschrijden.
Hieronder vallen over het algemeen bedrijven met meer dan 250 werknemers of een jaaromzet van meer dan 50 miljoen euro en/of een jaarlijks balanstotaal van meer dan 43 miljoen euro.
Volgens de NIS 2-richtlijn zijn bepaalde sectoren verplicht om aan de eisen van de richtlijn te voldoen, ongeacht de omvang van de entiteiten binnen die sectoren. Deze sectoren zijn onder andere:
Deze categorie omvat in grote lijnen entiteiten die diensten en infrastructuur aanbieden die essentieel zijn voor digitale communicatie in de hele EU.
Deze entiteiten bieden diensten en digitale hulpmiddelen om de veiligheid en authenticiteit van elektronische transacties te garanderen, waaronder digitale handtekeningen, zegels, tijdstempels en gerelateerde certificatiediensten.
Hieronder vallen organisaties die verantwoordelijk zijn voor het beheer en de exploitatie van topleveldomeinen (bijv. .com, .eu) en organisaties die DNS-diensten leveren die essentieel zijn voor het functioneren van het internet.
Dit zijn entiteiten die essentieel worden geacht voor het behoud van vitale maatschappelijke functies of economische activiteiten, die een breder scala aan sectoren omvatten en niet beperkt zijn door hun omvang.
Bovendien is de richtlijn van toepassing op elke entiteit, ongeacht haar omvang, als:
1) De dienst die door de entiteit wordt geleverd is essentieel voor het behoud van kritieke maatschappelijke of economische activiteiten.
De vereisten begrijpen
Entiteiten die onder het toepassingsgebied van de richtlijn vallen, zijn verplicht risicobeheersmaatregelen te nemen en significante cyberbeveiligingsincidenten te melden. Deze vereisten worden gedetailleerd beschreven in de NIS 2-richtlijn en omvatten beleid op het gebied van risicoanalyse, incidentafhandeling, bedrijfscontinuïteit en beveiliging van de toeleveringsketen. Daarnaast moeten entiteiten zich houden aan normen voor de beveiliging van netwerk- en informatiesystemen, die betrekking hebben op aspecten variërend van elementaire cyberhygiëne tot het gebruik van cryptografie en oplossingen voor continue authenticatie.
Mogelijke sancties bij niet-naleving
Bij niet-naleving geeft de NIS 2-richtlijn de lidstaten de bevoegdheid om essentiële en belangrijke entiteiten administratieve boetes op te leggen, die kunnen oplopen tot 10 miljoen euro of 2% van de totale wereldwijde jaaromzet van de onderneming waartoe de entiteit behoort, als dat bedrag hoger is. Deze sancties moeten doeltreffend, evenredig en afschrikkend zijn, rekening houdend met onder andere de ernst, de duur en de opzettelijke aard van de inbreuk.
Implementatie en handhaving
De lidstaten zijn verantwoordelijk voor het aanwijzen van bevoegde instanties die toezien op de implementatie van de NIS 2-richtlijn. Deze autoriteiten zijn bevoegd om inspecties uit te voeren, corrigerende maatregelen te gelasten en boetes op te leggen. Bij de richtlijn worden ook een samenwerkingsgroep en een CSIRT-netwerk opgericht om de strategische samenwerking en informatie-uitwisseling tussen de lidstaten te vergemakkelijken en zo de collectieve cyberbeveiligingspositie van de EU te versterken.
NIS 2 bevat een uitgebreide reeks maatregelen op het gebied van cyberbeveiliging die verplichte bedrijven moeten implementeren. Hier volgt een overzicht van de belangrijkste gebieden en de bijbehorende artikelen:
1. Technische en operationele maatregelen
Passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico's voor de veiligheid van netwerk- en informatiesystemen te beheren die het bedrijf gebruikt voor zijn activiteiten of voor het leveren van zijn diensten, en om de impact van incidenten op de ontvangers van zijn diensten en op andere diensten te voorkomen of te minimaliseren.
2. Risicobeoordeling
Bij de beoordeling van de evenredigheid van deze maatregelen moet terdege rekening worden gehouden met rekening worden gehouden met de mate waarin de entiteit is blootgesteld aan risico's, de omvang van de entiteit en de waarschijnlijkheid dat zich incidenten voordoen en de ernst ervan, met inbegrip van de maatschappelijke en economische gevolgen.
3. ISMS-implementatie
Zorgen voor een beveiligingsniveau van netwerk- en informatiesystemen dat is afgestemd op de risico's:
Beleid vaststellen voor risicoanalyse en beveiliging van informatiesystemen en procedures om de effectiviteit van risicobeheersmaatregelen voor cyberbeveiliging te beoordelen; beleid vaststellen voor het gebruik van cryptografie en, indien van toepassing, encryptie.
Reageren op incidenten en de risico's beperken om dergelijke incidenten in de toekomst te voorkomen; zorgen voor rapportage aan relevante autoriteiten binnen de wettelijke termijnen in overeenstemming met de GDPR
Ontwikkel een plan voor back-upbeheer, noodherstel en crisismanagement.
Overweeg veiligheidsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar directe leveranciers of dienstverleners.
Zorgen voor beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief omgaan met kwetsbaarheden en openbaarmaking.
Cryptografische controle verwijst naar het gebruik van cryptografische technieken en tools om de vertrouwelijkheid, integriteit en authenticiteit van informatie te beschermen. Deze controles zijn vitale onderdelen van de cyberbeveiliging en gegevensbeschermingsmaatregelen van een entiteit en helpen gevoelige gegevens te beschermen tegen onbevoegde toegang, openbaarmaking, wijziging en vernietiging.
Personeelsbeveiliging in cyberbeveiliging verwijst naar het beleid, de procedures en de maatregelen die worden geïmplementeerd om de risico's van werknemers, contractanten en externe dienstverleners voor de informatiebeveiliging van een organisatie te beheren en te beperken. Het omvat een reeks activiteiten die erop gericht zijn om ervoor te zorgen dat personen die worden aangenomen, met de organisatie werken of de organisatie verlaten, de cyberbeveiligingshouding niet negatief beïnvloeden. Belangrijke aspecten van personeelsbeveiliging zijn onder meer:
Achtergrondcontroles uitvoeren en de geloofsbrieven van potentiële werknemers controleren om hun betrouwbaarheid en integriteit te beoordelen voordat ze worden aangenomen.
Ervoor zorgen dat werknemers alleen toegang hebben tot de informatie en bronnen die nodig zijn voor hun functie. Dit houdt in dat het principe van 'least privilege' moet worden toegepast en dat toegangsrechten regelmatig moeten worden herzien en aangepast als functierollen veranderen of werknemers de organisatie verlaten. Het gebruik van multifactorauthenticatie of oplossingen voor continue authenticatie moet worden overwogen.
Middelenbeheer is het systematische proces van het identificeren, catalogiseren, beheren en beschermen van de digitale en fysieke middelen van een organisatie gedurende hun levenscyclus.
Wanneer werknemers de organisatie verlaten, is het van cruciaal belang om hun toegang tot alle systemen veilig te beëindigen en alle apparatuur of informatie die eigendom is van het bedrijf terug te halen. Dit proces helpt voorkomen dat voormalige werknemers ongeautoriseerd toegang krijgen tot gevoelige informatie of systemen.
Neem vertrouwelijkheidsovereenkomsten en clausules over informatiebeveiliging op in arbeidscontracten. Dit zorgt ervoor dat werknemers wettelijk verplicht zijn om de gevoelige informatie van de organisatie te beschermen.
Regelmatig evalueren van beveiligingsprocessen en -praktijken voor personeelszaken om nieuwe of veranderende risico's met betrekking tot personeel te identificeren en te beperken.
Regelmatige training en bewustwordingsprogramma's aanbieden om werknemers te informeren over risico's, beleid en procedures op het gebied van cyberbeveiliging. Dit omvat training over het herkennen van pogingen tot phishing, het beveiligen van gevoelige informatie, het gebruik van beveiligingsprogramma's en het melden van beveiligingsincidenten.
1. Door gebruik te maken van de kracht van kunstmatige intelligentie biedt ons platform een holistische oplossing voor het beheren van beleidsregels en procedures, het orkestreren van reacties op incidenten en het tegelijkertijd aanpakken van risico's voor gegevensprivacy.
2. Het stroomlijnt activabeheer, onboarding en monitoring van leveranciers en dienstverleners en vereenvoudigt het beheer van risicobeperkende taken.
3. Met AI als kern vergemakkelijkt ons platform niet alleen de creatie van een intuïtief managementdashboard voor uitgebreid overzicht, maar biedt het ook intelligente budgetcontrole en goedkeuringsprocessen voor zowel eenmalige als terugkerende taken.
Naleving van de NIS 2-richtlijn
Verhoog de nalevingsstrategie van je organisatie met ons AI-verbeterd Smart Integrity Platform, dat zorgt voor een naadloze, efficiënte en effectieve aanpak om te voldoen aan de vereisten van de NIS 2-richtlijn!