Question 1

Wat is NIS2?

Accepted Answer

NIS2 is de EU-richtlijn voor maatregelen voor een hoog gemeenschappelijk niveau van cybersecurity in de Unie. NIS2 vervangt de oorspronkelijke NIS-richtlijn en breidt de scope, verplichtingen en handhaving aanzienlijk uit.

Question 2

Wie valt onder de scope van NIS2?

Accepted Answer

NIS2 dekt 17 sectoren, onderverdeeld in essentiële en belangrijke entiteiten, waaronder energie, transport, banken, gezondheidszorg, digitale infrastructuur, openbaar bestuur, afvalbeheer en veel productie- en onderzoeksactiviteiten boven de omvangdrempels.

Question 3

Wat zijn de belangrijkste verplichtingen?

Accepted Answer

NIS2 vereist verantwoording op bestuursniveau, 10 minimale cybersecurity-risicomanagementmaatregelen, incidentrapportage binnen strikte termijnen, ketenbeveiliging en samenwerking met bevoegde autoriteiten.

Question 4

Wat zijn de termijnen voor incidentrapportage?

Accepted Answer

Significante incidenten moeten worden gemeld met een vroege waarschuwing binnen 24 uur, een incidentmelding binnen 72 uur en een eindrapport binnen één maand, aangevuld met tussentijdse updates waar vereist.

Question 5

Wat is verantwoording op managementniveau?

Accepted Answer

Onder artikel 20 moet het bestuur cybersecurity-risicomanagementmaatregelen goedkeuren, toezicht houden op de implementatie en getraind zijn om cyberrisico's te begrijpen en te beoordelen. Bestuurders kunnen aansprakelijk worden gehouden voor tekortkomingen.

Question 6

Wat zijn de ketenvereisten?

Accepted Answer

NIS2 vereist dat entiteiten cybersecurity-risico's van directe leveranciers en dienstverleners adresseren via contractuele eisen, risicobeoordelingen en monitoring, met inachtneming van de gecoördineerde risicobeoordelingen van ENISA.

Question 7

Wat zijn de sancties?

Accepted Answer

Essentiële entiteiten kunnen boetes krijgen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, belangrijke entiteiten tot 7 miljoen euro of 1,4% van de wereldwijde jaaromzet, naast managementsancties en corrigerende maatregelen.

Question 8

Wanneer is NIS2 van toepassing?

Accepted Answer

NIS2 is in januari 2023 in werking getreden en moest uiterlijk 17 oktober 2024 zijn omgezet in nationaal recht. Verplichtingen gelden vanaf de datum van omzetting in elke lidstaat.

Question 9

Hoe verhoudt NIS2 zich tot ISO 27001 en DORA?

Accepted Answer

ISO 27001 biedt een natuurlijke managementsysteem-ruggengraat voor NIS2. DORA is de lex specialis voor financiële entiteiten en prevaleert doorgaans boven NIS2 voor de onderwerpen die DORA dekt.

Question 10

Hoe ondersteunt Basenorm NIS2?

Accepted Answer

Basenorm mapt NIS2-verplichtingen op de Unified Control Library en centraliseert governance, risicomanagement, incidenten, leverancierstoezicht en bestuursrapportage.

NIS2-compliance voor essentiële en belangrijke entiteiten

Scope, governance en verantwoording van management

Artikel 21 beveiligingsmaatregelen

Entiteitsclassificatie

Risicomanagementmaatregelen en incidentrapportage

Ketenbeveiliging en doorlopende assurance

Tijdlijn incidentmelding

Klaar om NIS2 te operationaliseren?

Veelgestelde vragen

NIS2-compliance voor essentiële en belangrijke entiteiten

Scope, governance en verantwoording van management

Artikel 21 beveiligingsmaatregelen

Entiteitsclassificatie

Risicomanagementmaatregelen en incidentrapportage

Ketenbeveiliging en doorlopende assurance

Tijdlijn incidentmelding

Klaar om NIS2 te operationaliseren?

Veelgestelde vragen

Wat is NIS2?

Wie valt onder de scope van NIS2?

Wat zijn de 10 minimale risicomanagementmaatregelen?

Wat betekent verantwoording van management?

Hoe werkt incidentrapportage?

Wat zijn de eisen voor ketenbeveiliging?

Wat zijn de sancties onder NIS2?

Wanneer is NIS2 van toepassing?

Hoe verhoudt NIS2 zich tot ISO 27001 en DORA?

Hoe ondersteunt Basenorm NIS2-compliance?

Related FAQ Topics