NIS2 Compliance Security Assessment voor EU-organisaties
De NIS2-richtlijn (in oktober 2024 in nationaal recht omgezet) breidt de reikwijdte van cyberbeveiligingsverplichtingen in de EU-lidstaten aanzienlijk uit. KENSAI helpt essentiële en belangrijke entiteiten te voldoen aan de NIS2 Artikel 21-vereisten met voortdurende kwetsbaarheidsbeoordeling.
NIS2 Beoordeling starten → Boek een demoWie valt onder NIS2?
NIS2 breidt de reikwijdte van NIS1 dramatisch uit en omvat nu twee entiteitscategorieën:
| Categorie | Sectoren | Overzicht |
|---|---|---|
| Essentiële entiteiten | Energie, transport, bankwezen, infrastructuur van de financiële markt, gezondheidszorg, water, digitale infrastructuur, beheer van ICT-diensten, openbaar bestuur, ruimtevaart | Proactief toezicht; verplichte audits |
| Belangrijke entiteiten | Postdiensten, afvalbeheer, chemicaliën, voedsel, productie, digitale aanbieders, onderzoek | Reactief toezicht; door onderzoek geactiveerd |
Groottedrempels: Geldt doorgaans voor middelgrote entiteiten (≥50 werknemers of ≥€10 miljoen omzet). Voor sommige sectoren (kritieke infrastructuur) geldt geen omvangsdrempel.
NIS2 Artikel 21: Maatregelen voor risicobeheer op het gebied van cyberbeveiliging
Artikel 21 vereist "passende en evenredige technische, operationele en organisatorische maatregelen." Belangrijkste vereisten die relevant zijn voor kwetsbaarheidsbeheer:
Beleid voor risicoanalyse, inclusief systematische identificatie van kwetsbaarheden in systemen die worden gebruikt voor essentiële dienstverlening.
Beveiligingsmaatregelen gedurende de gehele levenscyclus van het systeem, inclusief kwetsbaarheidsbeheer en openbaarmakingsbeleid.
Organisaties moeten over procedures beschikken om de effectiviteit van maatregelen voor cyberbeveiligingsrisicobeheer te beoordelen. Beveiligingstests zijn het belangrijkste technische mechanisme.
Beveiligingsmaatregelen die de kwetsbaarheden in de toeleveringsketen aanpakken, waaronder het beoordelen van beveiligingspraktijken van directe leveranciers en dienstverleners.
🚨 NIS2-boetes: tot € 10 miljoen of 2% wereldwijde omzet
Essentiële entiteiten riskeren maximale boetes van € 10.000.000 of 2% van de totale wereldwijde jaaromzet, afhankelijk van welke van de twee het hoogste is. Belangrijke entiteiten worden geconfronteerd met €7.000.000 of 1,4% van de wereldwijde omzet. NIS2 introduceert ook persoonlijke aansprakelijkheid voor het management: senior managers kunnen persoonlijk aansprakelijk worden gesteld voor nalatigheid die tot NIS2-schendingen leidt.
NIS2-kwetsbaarheidsbeheervereisten
Het Agentschap van de Europese Unie voor Cybersecurity (ENISA) heeft implementatierichtlijnen gepubliceerd waarin de technische vereisten van NIS2 worden verduidelijkt. De verwachtingen van het kwetsbaarheidsbeheer omvatten:
- Inventaris van activa:Uitgebreide inventaris van alle ICT-middelen die worden gebruikt bij essentiële dienstverlening
- Regelmatig scannen op kwetsbaarheden:Systematische identificatie van kwetsbaarheden – frequentie evenredig aan het risico
- Penetratietesten:Regelmatige beveiligingstests die in verhouding staan tot de entiteitsclassificatie en het risicoprofiel
- Patchbeheer:Tijdige toepassing van beveiligingspatches: kritieke patches binnen gedefinieerde SLA's
- Openbaarmaking van kwetsbaarheden:Beleid voor het ontvangen en afhandelen van openbaarmakingen over kwetsbaarheden van externe onderzoekers
- Beveiligingstests voor de toeleveringsketen:Beoordeling van ICT-leveranciers en dienstverleners
Hoe KENSAI NIS2-compliance ondersteunt
✓ Ontdekking van essentiële servicemiddelen
Ontdekt en inventariseert automatisch alle ICT-middelen die betrokken zijn bij essentiële dienstverlening: de basis voor NIS2-compliance.
✓ Proportionele risicoscans
Configureer de scanfrequentie en -diepte in verhouding tot de kriticiteit van de bedrijfsmiddelen. Essentiële servicesystemen worden vaker en diepgaander getest.
✓ Beoordeling van de toeleveringsketen
Het externe aanvalsbeheer voor ICT-leveranciers voldoet aan de NIS2-beveiligingsvereisten van artikel 21, lid 2, onder h).
✓ Managementrapportage
NIS2 houdt het management persoonlijk aansprakelijk: KENSAI biedt managementdashboards voor inzicht op bestuursniveau in kwetsbaarheidsrisico's.
✓ NIS2 Bewijspakket
Genereer auditklare documentatie voor inspectie door de nationale bevoegde autoriteit: scan de geschiedenis, herstelgegevens en beleidsbewijs.
✓ Incidentcorrelatie
Koppel kwetsbaarheden aan de 24-uurs meldingsvereiste voor incidenten – weet onmiddellijk wanneer een kwetsbaarheid actief wordt uitgebuit.
NIS2 versus NIS1: wat er is veranderd voor beveiligingstests
| Aspect | NIS1 (2016) | NIS2 (2022) |
|---|---|---|
| Domein | Alleen exploitanten van essentiële diensten | Essentiële + Belangrijke entiteiten (10x meer organisaties) |
| Beveiligingsmaatregelen | Vage ‘passende maatregelen’ | Specifieke lijst met beveiligingsmaatregelen van 10 punten |
| Overzicht | Lichte nationale benaderingen | Geharmoniseerd proactief toezicht in de hele EU |
| Boetes | Verschilt per lidstaat | Geharmoniseerde maxima (€ 10 miljoen / 2% omzet) |
| Bestuursaansprakelijkheid | Niet gespecificeerd | Persoonlijke aansprakelijkheid voor leidinggevenden |
| Toeleveringsketen | Niet vereist | Expliciet vereist |
Voldoe aan de NIS2-cyberbeveiligingsvereisten met KENSAI
Met persoonlijke aansprakelijkheid van het management en boetes die kunnen oplopen tot 2% van de wereldwijde omzet, is de naleving van NIS2 een kwestie op bestuursniveau. KENSAI levert het geautomatiseerde kwetsbaarheidsbeheer en de documentatie die nodig is om NIS2-naleving aan te tonen aan nationale bevoegde autoriteiten.
NIS2-compliance starten → Praat met een NIS2-expert