Wat is de NIS2-richtlijn?
NIS2 is de herziene versie van de originele Network and Information Security Directive (NIS) richtlijn, die door de Europese Unie werd vastgesteld in 2016. De NIS2-richtlijn is in januari 2023 in werking getreden en is rond oktober 2024 door alle EU-lidstaten omgezet in nationale wetgeving. De NIS2-richtlijn is ontworpen om de cyberweerbaarheid van essentiële en belangrijke sectoren in de EU te vergroten.
NIS2 is een in de wet geborgde richtlijn, die beoogt dat sectoren als energie, transport, bankwezen, gezondheidszorg en drinkwatervoorziening minder kwetsbaar worden voor cyberaanvallen. Naast deze essentiële sectoren worden in de NIS2 ook belangrijke sectoren genoemd als levensmiddelen, postdiensten, afvalstoffenbeheer, chemische industrie en de digitale infrastructuur.
De richtlijn legt verplichte beveiligingsmaatregelen op aan organisaties in deze sectoren. Als bedrijven niets doen, riskeren ze hoge boetes. De NIS2-richtlijn is dus niet vrijblijvend of facultatief. Als essentiële of belangrijke sector ben je verplicht maatregelen te nemen. Je moet die maatregelen ook kunnen aantonen bij een inspectie.
Wat is ISO27001?
ISO27001 is een internationale norm voor informatiebeveiliging, ontwikkeld door de International Organization for Standardization (ISO). Deze norm biedt een wat breder en algemener kader voor het implementeren en beheren van een Information Security Management System (ISMS).
In tegenstelling tot NIS2 is ISO27001 vrijwillig toepasbaar op elk type organisatie, ongeacht grootte, sector of strategisch belang. De ISO27001 norm kijkt wat breder dan alleen cybersecurity. Bedrijven en organisaties gebruiken de ISO27001 certificering om aan te tonen dat ze voldoen aan strenge standaarden voor informatiebeveiliging.
Zoek de verschillen
ISO27001 is een vrijwillige internationale norm, die van toepassing is op alle sectoren, bedrijven en organisaties. De norm gaat over informatieveiligheid in de hele organisatie, met nadruk op het beheer en de verwerking van data. De ISO27001 norm wordt gecertificeerd door geaccrediteerde instanties. De bedoeling van ISO27001 is om risico’s rond databeheer in bedrijven of organisaties te identificeren en er beheersmaatregelen voor te maken. Vanuit de ISO27001 is er geen verplichting om incidenten rond informatieveiligheid te melden aan een externe instantie. Het stelselmatig negeren van risico’s of het niet uitvoeren van beheersmaatregelen zal hoogstens leiden tot verlies van de certificering. Als er sprake is van een datalek, moet dat overigens wel aan de Autoriteit Persoonsgegevens worden gemeld. Dat is een verplichting die bij wet is geregeld in de Algemene Verordening Gegevensbescherming (AVG). Verder is de ISO27001 zeer flexibel en aanpasbaar aan bedrijfs- of organisatiespecifieke behoeften.
NIS2 is een verplichte EU-richtlijn en heeft dus een veel zwaardere juridische status dan de ISO27001 norm. NIS2 is van toepassing op specifieke sectoren, namelijk essentiële en belangrijke bedrijven. Die classificatie (wat is precies essentieel en belangrijk) is omschreven in de NIS2-richtlijn. NIS2 is ontwikkeld om netwerken en kritieke infrastructuur te beschermen tegen cyberaanvallen. Nationale autoriteiten voeren de NIS2-richtlijn uit en volgen daarbij de aanwijzingen die vanuit de EU zijn opgesteld. Bedrijven en organisaties, waarop NIS2 van toepassing is, kunnen hoge boetes krijgen als ze niet compliant zijn. De specifieke eisen van NIS2 zijn vastgelegd in de wetgeving en er is geen ruimte voor flexibiliteit zoals bij ISO27001 wel het geval is.
Beheer van beide normen
Het kan maar zo zijn dat jouw bedrijf of organisatie NIS2-compliant moet zijn. Vanzelfsprekend geldt dat voor alle centrale en regionale overheidsorganisaties en kritieke infrastructuren zoals energie, water en digitale knooppunten en netwerken. Maar ook minder kritieke bedrijven vallen onder de NIS2. Denk daarbij aan post- en koeriersdiensten, afvalstoffenbeheer, chemische producten, levensmiddelen, technische maakindustrie een aanbieders van digitale services.
Het kan ook zijn dat jouw bedrijf zowel gaat werken met ISO27001 als met NIS2. Dan rijst de vraag hoe je al die normen en richtlijnen gaat managen.
Als je NIS2-compliant bent, kom je echt niet meer weg met een houtje touwtje kwaliteitssysteem, dat van Excel sheets, Teams folders en Sharepoint locaties aan elkaar hangt. En zeker niet als je tegelijkertijd de NIS2-richtlijn, ISO27001- en bijvoorbeeld ISO9001-certificeringen wil managen.
Wat je ook niet wil is gespecialiseerde software voor elke richtlijn of norm die je wil volgen of hanteren. Dat zou niet erg praktisch zijn.
Geloof ons, want we denken elke dag na over deze materie: je bent het best geholpen met een digitaal kwaliteits/risicomanagementsysteem dat in staat is om al je richtlijnen en normen vanuit één omgeving te managen. Dat systeem moet alle denkbare ISO-normen aankunnen, moet goed overweg kunnen met NIS2, maar ook met bijvoorbeeld CSRD. Het moet een geïntegreerd kwaliteitsmanagementsysteem zijn, dat zelf aan de strengste normen voldoet op het gebied van informatieveiligheid. Het zou ideaal zijn als je geen omkijken hebt naar functioneren van het systeem en systeemonderhoud. Het zou natuurlijk helemaal fantastisch zijn als zo’n systeem zich vanzelf doorontwikkelt naar een nog beter en completer systeem.
Gelukkig voor jou bestaat zo’n systeem en er werken al meer dan 800 bedrijven mee. Het heet ISO2HANDLE en als je er meer over wil weten, volstaat een simpel berichtje via ons contactformulier. Als we contact hebben, bekijken we waar we jou op dit moment het best mee kunnen helpen. Dat kan een stukje digitale informatie zijn, maar ook een referentie. En misschien wil je wel een demo, een proefaccount of een pilot project. Jij mag het zeggen.
