NIS2 blogreeks / Deel 2: Passende informatiebeveiligingen op basis van de NIS2

Lees hier het eerste deel: NIS2 blogreeks / Deel 1: Wat is de NIS2?

Uit de Richtlijn vloeit voort dat entiteiten die onder de NIS2 vallen, verplicht zijn tot het nemen van “passende en evenredige technische, operationele en organisatorische maatregelen” om cyberincidenten te voorkomen of de gevolgen van incidenten te beperken.

We zien hier dat de open norm van ‘passende en evenredige maatregelen’ weer terugkomt. Deze norm kennen we immers onder de AVG. De AVG kent de verplichting tot het nemen van technische en organisatorische maatregelen, rekening houdend met:

• de stand van de techniek;
• de kosten om de gegevens goed te beveiligen;
• de aard, de omvang, de context en het doel van de verwerking.

Kort samengevat: hoe gevoeliger en omvangrijker de data, hoe strenger de eisen; hoe goedkoper en gebruikelijker een maatregel, hoe eerder deze moet worden toegepast.

Ook op basis van de NIS2 moeten maatregelen afgestemd zijn op het risico (risicobeoordeling en evenredigheidstoets). Met andere woorden, er moet rekening worden gehouden met de mate waarin de entiteit aan het risico is blootgesteld, de omvang van de entiteit en de kans dat zich incidenten voordoen en de ernst ervan. Bij de ernst ervan wordt niet alleen gekeken naar de economische gevolgen, maar ook naar de maatschappelijke.

Let op: deze verplichting geldt ongeacht of beheer of onderhoud van netwerk- en informatiesystemen is uitbesteed. Entiteiten kunnen zich dus niet “verschuilen” achter hun IT-leverancier aan wie ze hun IT hebben uitbesteed.

Een ander punt van aandacht is dat de maatregelen moeten betrekking hebben op ‘alle gevaren’ . Dit betekent dat ook de fysieke omgeving moet worden beschermd. Denk daarbij aan het (fysieke) toegangsbeleid.

Naast de open norm die wordt gesteld, wordt ook een aantal minimummaatregelen genoemd. Op deze maatregelen zal in een volgend blog worden ingegaan.

De Clercq verzorgt samen met Secura NIS2 Boardroomtrainingen. Wilt u meer informatie over deze trainingen, neem dan contact op met Natascha van Duuren via [email protected]

Lees hier deel 3 uit de blogreeks:

NIS2 blogreeks / Deel 3: Passende informatiebeveiliging op basis van de NIS2 – minimummaatregelen