NIS2/DORA Gap Analyse

DORA?

DORA kan gezien worden als een sectorspecifieke uitwerking van NIS2 voor de financiële sector. Beide regelgevingen hebben als doel om de cyberweerbaarheid binnen de EU te verbeteren, maar DORA bouwt voort op NIS2 door specifieke eisen te stellen aan digitale operationele veerkracht in de financiële sector. Dit betekent dat financiële instellingen zowel aan DORA als aan NIS2 moeten voldoen, waar hun diensten onder beide regelingen vallen.

NIS2?

NIS2 (Network and Information Security Directive 2) is de vernieuwde Europese richtlijn voor cybersecurity, die in oktober 2024 in werking treedt. Het is de opvolger van de oorspronkelijke NIS-richtlijn en heeft als doel de cyberveiligheid binnen de EU te verbeteren door strengere eisen te stellen aan netwerk- en informatiesystemen van bedrijven en organisaties.

Wij begrijpen dat het lastig kan zijn om in kaart te brengen in hoeverre je al voldoet aan de NIS2/DORA

Daarom helpen wij u graag met:

Valt uw bedrijf onder DOR/NIS2?

vaststellen of uw organisatie onder de nieuwe regelgeving valt

Te nemen maatregelen

In de Gap analyse krijgt u een overzicht van mogelijke verbeteringen om aan de NIS2/DORA te voldoen en een implementatieadvies.

Wat verandert er met NIS2?

Uitgebreidere sectoren

Meer bedrijven vallen onder NIS2, zoals de sectoren energie, transport, gezondheidszorg, digitale infrastructuur, en voedselproductie.

Strengere beveiligingseisen

Organisaties moeten uitgebreide maatregelen nemen op het gebied van risicobeheer, incidentpreventie en -respons.

Verantwoordelijkheid en sancties

Directies van bedrijven worden persoonlijk verantwoordelijk voor cybersecurity, en boetes bij niet-naleving kunnen fors oplopen.

Snellere meldplicht

Beveiligingsincidenten moeten binnen 24 uur gemeld worden bij de toezichthouder.

Moet jouw bedrijf aan NIS2 voldoen?

CHECKLIST

Val je binnen een van de sectoren?

– Essentiële sectoren: energie, transport, bankwezen, gezondheidszorg, drinkwater, digitale infrastructuur.
– Belangrijke sectoren: post- en koeriersdiensten, afvalbeheer, chemische productie, voedselproductie, digitale dienstverlening.

Omvang van je organisatie

– Heb je meer dan 50 medewerkers?
– Is je jaaromzet hoger dan €10 miljoen?

Cybersecuritymaatregelen

– Heb je een risicobeheerbeleid voor cybersecurity?
– Voer je regelmatig kwetsbaarheidsanalyses en beveiligingsaudits uit?
– Heb je een duidelijk incidentresponsplan?

Is je organisatie afhankelijk van digitale infrastructuur?

– Beheer je netwerk- en informatiesystemen die cruciaal zijn voor je dienstverlening?
– Heeft een cyberincident bij jouw organisatie grote impact op klanten of partners?

Meldplicht en communicatie

– Kun je binnen 24 uur een beveiligingsincident melden aan de toezichthouder?
– Is er een intern protocol voor het communiceren van beveiligingsproblemen?

Verantwoordelijkheid binnen het management

– Is het management op de hoogte van de verplichtingen onder NIS2?
– Worden directieleden getraind in cybersecuritybewustzijn?

NIS2-QM10 Basis Niveau

– Organisatorische controlemaatregelen – Mensgerichte managementmaatregelen – Fysieke beheersmaatregelen – Technologische beheersmaatregelen QM10 is bedoeld voor de meeste MKB-bedrijven die diensten leveren aan NIS2-organisaties en biedt een basisniveau van cyberhygiëne.

3 nivo’s van NIS2

NIS2-QM20 Substantieel Niveau

Dit niveau bouwt voort op QM10 en voegt extra maatregelen toe, waaronder: Operationele technologie (OT) – beheersmaatregelen – IT-beheersmaatregelen

NIS2-QM30 Hoog Niveau

Dit is het hoogste certificeringsniveau en omvat alle maatregelen van QM20, met een focus op uitgebreide en diepgaande beveiligingsstrategieën. Het is bedoeld voor organisaties met de hoogste risicoprofielen en de strengste beveiligingseisen.