De NIS2-richtlijn moet uiterlijk 17 oktober 2024 in nationale wetgeving zijn omgezet. Vanaf 18 oktober moeten organisaties die gevestigd zijn in een EU-lidstaat of actief zijn binnen de Europese Unie kunnen aantonen dat ze hun cyberbeveiliging effectief versterken. Dit gaat gepaard met rapportageverplichtingen bij incidenten, het betrekken van de toeleveringsketen, zware boetes en tal van disciplines op het gebied van governance, risicomanagement en compliance (GRC). GRC-software biedt u optimale ondersteuning bij het aantonen van uw NIS2-compliance.
OMNINET ondersteunt klanten al bij de voorbereiding op NIS2-naleving.
NIS2 dekking in het OMNITRACKER GRC Center
- Risicogebaseerde benadering
(geïntegreerd risicobeheer) - Crisis -en noodmanagement
(bedrijfscontinuïteitsbeheer) - Beheer van bedrijfsmiddelen
(vaststellen van beschermingsvereisten en evaluatie van activa afhankelijkheden) - Leverancierspecifieke risico's
(risicogebaseerd beheer van de toeleveringsketen) - Initiëren en documenteren van maatregelen en controles
(verplichte inhoud van rapporten) - Audits optimaal voorbereiden en efficiënt uitvoeren
- Voorzien in een contact -en rapportagekanaal
- Documentarchivering in centraal documentbeheer
- ISMS-verplichting voor kritische gebieden
Individueel technisch advies over uw NIS2-naleving
De NIS2 richtlijn heeft veel thematische overlappingen met andere gebieden van governance, risicobeheer en compliance. De multistandaardoplossing OMNITRACKER GRC Center ondersteunt u door alle onderwerpen op het gebied van compliance, audit, risicobeheer en documentatie centraal te beheren. Dit creëert synergie-effecten en stelt u in staat om op een audit-proof en efficiënte manier te voldoen aan de komende vereisten van de NIS2 richtlijn.
Achtergrond, verplichtingen en sectoren die worden beïnvloed door de NIS2-richtlijn
Achtergrond
Het doel van de NIS2-richtlijn (link naar de officiële website van de EU) is om de cyberbeveiliging van belangrijke en relevante organisaties te versterken. De belangrijkste sectoren voor een functionerende digitale samenleving en organisaties boven een bepaalde omvang moeten daarom aantonen dat ze effectieve, op risico's gebaseerde cyberbeveiliging hebben wanneer de betreffende nationale wetgeving van kracht wordt. De algehele verantwoordelijkheid ligt bij het management, dat onder andere trainingen op het gebied van beveiliging moet volgen. Ook moet het bewustzijn van het personeel worden gewaarborgd. De naar schatting 30.000 getroffen organisaties riskeren sancties als ze hun verplichtingen niet nakomen.
Verplichtingen
In het geval van een incident moet dit worden gemeld aan een toezichthoudende autoriteit in een vroegtijdige waarschuwing, indien nodig tussentijdse rapporten en een eindrapport. Deze rapporten moeten informatie bevatten over welke organisatiegebieden door het cyberbeveiligingsincident worden getroffen (asset management is nuttig), welke maatregelen zijn genomen en welke maatregelen kunnen worden gebruikt om soortgelijke incidenten in de toekomst te voorkomen of te beperken.
Relevantie
De NIS2-richtlijn heeft betrekking op tal van industrieën en sectoren, die in twee bijlagen worden gedefinieerd. Middelgrote instellingen met meer dan 50 werknemers en een jaaromzet van meer dan 10 miljoen maar minder dan 50 miljoen euro (of een jaarlijks balanstotaal van maximaal 43 miljoen euro) die in een bedrijfstak in bijlage 1 of 2 zijn opgenomen, moeten vanaf oktober 2024 voorbereid zijn op de implementatie van de NIS2-richtlijn. Hetzelfde geldt voor grote ondernemingen met meer dan 250 werknemers en een jaaromzet van meer dan 50 miljoen euro of een jaarlijks balanstotaal van meer dan 43 miljoen euro.
Significante en belangrijke faciliteiten vallen ongeacht de omzet of het aantal werknemers onder de reikwijdte van NIS2.
Daarnaast kunnen ook kleinere organisaties op last van de overheid onder NIS2 vallen, bijvoorbeeld als ze deel uitmaken van de digitale infrastructuur, DNS-providers zijn of kritieke diensten aanbieden. Ook het openbaar bestuur is hierop een uitzondering. Organisaties die eerder als kritieke infrastructuren werden geclassificeerd, worden allemaal getroffen door NIS2.
In welke categorie een instelling valt, heeft invloed op mogelijke sancties en toezicht (reactief/proactief).
Bijlage 1: Belangrijke kritieke sectoren
Energie
Transport
Bankwezen
Financiële marktinfrastructuren
Gezondheidzorg
Drinkwater
Afvalwater
Digitale infrastructuur
Aanbieders van ICT-diensten
Overheid
Ruimtevaart
Bijlage 2: Andere kritieke sectoren
Post- en koeriersdiensten
Afvalstoffenbeheer
Chemische stoffen
Levensmiddelen
Productie
Digitale aanbieders
Onderzoek
GRC Center als multistandaardoplossing: één centrale tool voor alle managementsystemen, risico's en audits
Met het GRC Center bent u niet alleen voorbereid op de nalevingsvereisten van de NIS2-richtlijn, maar ook op het auditen van uw ISMS (bv. conform ISO 27001), IMS, kwaliteitsmanagementsysteem (ISO 9001) of tal van andere (inclusief toekomstige) normen en voorschriften. De voordelen van brede naleving zijn duidelijk: risico's en organisatie-eenheden worden op een centrale locatie bijgehouden. Een autorisatie- en rollenconcept wordt gebruikt om het beheer van risico's, maatregelen, controles, audits, contracten en noodplannen te beheren, documenteren en continu te verbeteren.
NIS2-relevante functies in het OMNITRACKER Governance, Risk and Compliance Center
- Geïntegreerd risicomanagement
- Rolconcept voor goedkeuringen en verantwoordelijkheden
- Multistandaardcapaciteit (alle compliance-records gebundeld in één tool)
- Documentbeheer (versiebeheer, archivering, goedkeuring, abonnementsfunctie)
- Leveranciersbeheer (voor uitbestede NIS2-relevante processen/services)
- Opzetten van een ISMS (certificeerbaar conform ISO 27001)
- Centraal rapportagekanaal
- Compliance casemanagement
- Business continuity management (noodmanagement)
- Actie- en controlemanagement (inclusief actieplannen)
- Auditmanagement (auditplanning- en uitvoering)
- Assetmanagement (afhankelijkheden, categorisering en evaluatie)
OMNINET's realisatieknowhow voor complianceprojecten
Als digitaliseringspartner bereiden wij u graag voor op de nieuwe EU-richtlijn, bijvoorbeeld op het gebied van leveranciers-, activa-, crisis-, audit-, document- en risicomanagement en bij het opzetten van een rapportagekanaal of bij de gestructureerde, procesmatige verduidelijking van verantwoordelijkheden en bevoegdheden. Wij ondersteunen u graag in alle fasen van de projectrealisatie, van vereisteanalyse, implementatie en technisch advies tot en met de go-live en het continue onderhoud en de ontwikkeling van uw systeem.
Om ervoor te zorgen dat de implementatie soepel verloopt, staan wij als ervaren consulting partner aan uw zijde. Wij kennen het platform in detail en hebben uitgebreide expertise van alle software-implementatieprocessen.
In een workshop ontwikkelen we samen de individuele vereisten van uw OMNITRACKER-systeem. Vervolgens documenteren we de resultaten systematisch in het OMNITRACKER Requirements Management Center
Ook het projectmanagement en de controle nemen wij voor onze rekening. Ons gestandaardiseerde en in de praktijk geteste procesmodel is geschikt voor zowel agile als traditionele projectuitvoering.
Na het definiëren van het systeem en de bedrijfsprocessen implementeren wij uw vereisten snel in OMNITRACKER. Ook complexe en zeer individuele configuraties zijn mogelijk.
Na een uitgebreide en succesvolle testfase en eventuele laatste aanpassingen wordt uw OMNITRACKER-installatie met onze ondersteuning in gebruik genomen.
Na de go-live beantwoorden wij graag uw vragen over lopende werkzaamheden, wijzigingsverzoeken of prestatieverbeteringen.
Neem contact met ons op voor informatie over de beschikbaarheid en eventuele openstaande vragen over de NIS2-richtlijn.
Waarom OMNITRACKER?
Professionele ticketverwerking
- Meer efficiëntie en verlichting voor uw IT-ondersteuning
- Gestructureerde verwerking van tickets volgens de ITIL®4 standaard
- Gestandaardiseerde ticketprocessen voor grotere klanttevredenheid
- Eenvoudige ticketautomatisering
- Grotere transparantie en betere meetbare kwaliteit
- Langetermijnoplossing voor gestandaardiseerd servicemanagement