Blogreeks NIS2 / Deel 3: Passende informatiebeveiliging op basis van de NIS2 – minimummaatregelen

Lees hier de eerste 2 delen:

NIS2 blogreeks / Deel 1: Wat is de NIS2?

NIS2 blogreeks / Deel 2: Passende informatiebeveiligingen op basis van de NIS2

Deze maatregelen moeten zijn afgestemd zijn op het risico. Met andere woorden, er moet rekening worden gehouden met de mate waarin de organisatie aan het risico is blootgesteld, de omvang van de organisatie en de kans dat zich incidenten voordoen en de ernst ervan. Deze risico-inschatting vloeit voort uit een risico-analyse die zal moeten worden uitgevoerd.

Naast de open norm die wordt gesteld wordt ook een aantal minimummaatregelen genoemd, waaronder risicobeleid, incidentenbehandeling, back-upbeheer en noodvoorzieningenplannen, beleid en procedures om de effectiviteit van maatregelen te beoordelen, opleiding op het gebied van cyberbeveiliging, beleid voor encryptie, basispraktijken op het gebied van cyberhygiëne en MFA.

Uit de NIS2 vloeit voort dat de maatregelen minimummaatregelen zijn. Met andere woorden, de Europese Commisie kan maatregelen nader concretiseren en uitbreiden. Interessant is dat, om aan te tonen dat aan de beveiligingsverplichting is voldaan, lidstaten kunnen eisen dat gebruik gemaakt wordt van gecertificeerde producten en diensten. In het eerste kwartaal van 2024 vindt de internetconsultatie plaats. De concept wetteksten zijn dan gereed en sectoren, organisaties en personen krijgen dan gelegenheid erop te reageren. Wellicht dat dan ook meer duidelijkheid komt over certificering.

De Clercq verzorgt samen met Secura NIS2 Boardroomtrainingen. Wilt u meer informatie over deze trainingen, neem dan contact op met n.vanduuren@declercq.com