NIS2/DORA Gap Analyse

People Prevent React

Wij begrijpen dat het lastig kan zijn om in kaart te brengen in hoeverre je al voldoet aan de NIS2/DORA. Daarom helpen wij u graag met:

  • vaststellen of uw organisatie onder de nieuwe regelgeving valt
  • het onderzoeken welke acties en maatregelen uw organisatie nog moet uitvoeren om te voldoen aan de NIS2/DORA regelgeving. In deze Gap analyse krijgt u een overzicht van mogelijke verbeteringen om aan de NIS2/DORA te voldoen. En u krijgt in één overzicht een implementatieadvies van de te nemen maatregelen.

Wat is DORA?

DORA kan gezien worden als een sectorspecifieke uitwerking van NIS2 voor de financiële sector. Beide regelgevingen hebben als doel om de cyberweerbaarheid binnen de EU te verbeteren, maar DORA bouwt voort op NIS2 door specifieke eisen te stellen aan digitale operationele veerkracht in de financiële sector. Dit betekent dat financiële instellingen zowel aan DORA als aan NIS2 moeten voldoen, waar hun diensten onder beide regelingen vallen.

Wat is NIS2?
NIS2 (Network and Information Security Directive 2) is de vernieuwde Europese richtlijn voor cybersecurity, die in oktober 2024 in werking treedt. Het is de opvolger van de oorspronkelijke NIS-richtlijn en heeft als doel de cyberveiligheid binnen de EU te verbeteren door strengere eisen te stellen aan netwerk- en informatiesystemen van bedrijven en organisaties.

Wat verandert er met NIS2?

  • Uitgebreidere sectoren: Meer bedrijven vallen onder NIS2, zoals de sectoren energie, transport, gezondheidszorg, digitale infrastructuur, en voedselproductie.
  • Strengere beveiligingseisen: Organisaties moeten uitgebreide maatregelen nemen op het gebied van risicobeheer, incidentpreventie en -respons.
  • Verantwoordelijkheid en sancties: Directies van bedrijven worden persoonlijk verantwoordelijk voor cybersecurity, en boetes bij niet-naleving kunnen fors oplopen.
  • Snellere meldplicht: Beveiligingsincidenten moeten binnen 24 uur gemeld worden bij de toezichthouder.

Checklist: Moet jouw bedrijf aan NIS2 voldoen?

  1. Val je binnen een van de sectoren?
    • Essentiële sectoren: energie, transport, bankwezen, gezondheidszorg, drinkwater, digitale infrastructuur.
    • Belangrijke sectoren: post- en koeriersdiensten, afvalbeheer, chemische productie, voedselproductie, digitale dienstverlening.
  2. Omvang van je organisatie:
    • Heb je meer dan 50 medewerkers?
    • Is je jaaromzet hoger dan €10 miljoen?
  3. Is je organisatie afhankelijk van digitale infrastructuur?
    • Beheer je netwerk- en informatiesystemen die cruciaal zijn voor je dienstverlening?
    • Heeft een cyberincident bij jouw organisatie grote impact op klanten of partners?
  4. Cybersecuritymaatregelen:
    • Heb je een risicobeheerbeleid voor cybersecurity?
    • Voer je regelmatig kwetsbaarheidsanalyses en beveiligingsaudits uit?
    • Heb je een duidelijk incidentresponsplan?
  5. Meldplicht en communicatie:
    • Kun je binnen 24 uur een beveiligingsincident melden aan de toezichthouder?
    • Is er een intern protocol voor het communiceren van beveiligingsproblemen?
  6. Verantwoordelijkheid binnen het management:
    • Is het management op de hoogte van de verplichtingen onder NIS2?
    • Worden directieleden getraind in cybersecuritybewustzijn?

Wat als je aan NIS2 moet voldoen?

  • Stel een risicobeheer- en beveiligingsstrategie op.
  • Voer technische en organisatorische maatregelen door (zoals firewalls, encryptie, back-ups).
  • Zorg voor regelmatige beveiligingstrainingen en bewustwording binnen je organisatie.
  • Richt een incidentresponsproces in en zorg voor snelle meldprocedures.

Drie niveaus NIS2

NIS2-QM10 Basis Niveau 

  • Organisatorische controlemaatregelen
  • Mensgerichte managementmaatregelen
  • Fysieke beheersmaatregelen
  • Technologische beheersmaatregelen

QM10 is bedoeld voor de meeste MKB-bedrijven die diensten leveren aan NIS2-organisaties en biedt een basisniveau van cyberhygiëne.

NIS2-QM20 Substantieel Niveau

Dit niveau bouwt voort op QM10 en voegt extra maatregelen toe, waaronder:

  • Operationele technologie (OT) beheersmaatregelen
  • IT-beheersmaatregelen

NIS2-QM30 Hoog Niveau

  • Dit is het hoogste certificeringsniveau en omvat alle maatregelen van QM20, met een focus op uitgebreide en diepgaande beveiligingsstrategieën. Het is bedoeld voor organisaties met de hoogste risicoprofielen en de strengste beveiligingseisen.