NIS2 Impact Assessment

Voor welke organisaties is een NIS2 Impact Assessment?

Organisaties die onder de NIS2 vallen en nog niet zeker weten of zij voldoen aan alle eisen uit de richtlijn hebben baat bij een NIS impact assessment. Organisaties vallen onder NIS2 al zij essentiële of belangrijke entiteiten zijn in verschillende sectoren zoals energie, gezondheidszorg, waterbeheer, digitale infrastructuur en meer. Het verschil tussen een essentiële en een belangrijke organisatie zit in de sector en het aantal medewerkers of de financiële omzet van de organisatie. Wil je weten of je organisatie onder de NIS2 valt? Vul de zelfevaluatie tool in van de rijksoverheid!

Hoe geeft een organisatie invulling aan NIS2?

Om invulling te geven aan de eisen van NIS2 zal je eerst moeten vaststellen wat er nu al ingericht is. De gebieden waar nog niet is voldaan aan de eisen van NIS2 kunnen dan worden aangepakt met beleid, implementatie van technische maatregelen, crisisoefeningen, opleiding van medewerkers en directieleden, enzovoorts. Vaak helpt het gebruik van (internationale) standaarden zoals ISO27001 bij het opstellen van beleid en het beheersen van risico’s en implementeren van vereiste maatregelen. Voor sommige maatregelen is externe expertise gewenst en noodzakelijk, zoals bij technische maatregelen en opleiding.

Een NIS2 impact assessment helpt bij het vaststellen van de gebieden waar verbetering noodzakelijk is en bevat concrete aanbevelingen om te voldoen aan de NIS2-richtlijn.

Wat is een NIS2 Impact Assessment?

Een NIS2 impact assessment doorlopen we door drie kernvragen te beantwoorden:

1. Hoe is nu al invulling gegeven aan de eisen uit de NIS2-richtlijn?
2. Welke eisen zijn nu nog niet of onvoldoende ingevuld?
3. Welke concrete acties kunnen genomen worden om aan alle eisen te voldoen?

Het beantwoorden van deze vragen heeft als doel om vast te stellen waar de focus moet liggen om te voldoen aan NIS2.

In de eerste stap kijken we naar de huidige situatie van informatiebeveiliging bij de organisatie. Dit gaat niet alleen over technische maatregelen, maar ook over bewustzijn bij personeel en directie, grip op de leveranciers- en afnemers-keten en processen ingericht voor het melden van informatiebeveiligingsincidenten.

In de tweede stap identificeren we gebieden die nog niet aan de NIS2-richtlijn voldoen. Wat ontbreekt er?

In de derde stap schrijven we concrete aanbevelingen uit die de organisatie kan opvolgen om te gaan voldoen aan de NIS2-richtlijn.

BMGrip helpt met praktische, organisatie-specifieke adviezen. 

• We gebruiken standaard werkprogramma's om snel en efficiënt vast te stellen wat de noodzakelijke verbeteringen zijn;
• We werken aan de hand van internationale normen voor informatiebeveiliging en bedrijfscontinuïteit;
• We geven aanbevelingen voor verbeteringen met een praktische inslag;
• We prioriteren aanbevelingen, zodat snel stappen gemaakt kunnen worden en de hoogste risico’s als eerst geadresseerd worden;

Waarom is een NIS2 impact assessment belangrijk?

Niet voldoen aan NIS2 kan op termijn kostbaar zijn, omdat hoge boetes zijn opgenomen in de richtlijn voor onvoorbereide organisaties. Zonder goede informatiebeveiliging zijn organisaties kwetsbaar voor incidenten. De eisen uit de NIS2-richtlijn helpen organisaties om de cyberweerbaarheid te vergroten. Door met de keten van leveranciers en afnemers na te denken over informatiebeveiliging maken we de bedrijfsvoering robuuster. Op korte termijn zal de Nederlandse overheid gaan handhaven op de NIS2-richtlijn. Een NIS2 impact assessment brengt onafhankelijk helderheid voor jouw organisatie over de te nemen stappen.

Onze NIS2-consultants helpen je verder

Kom je handen tekort of mis je in jouw organisatie de technische kennis om deze door te lichten? Dan kun je in een vrijblijvend gesprek met BMGRIP onderzoeken wat de behoefte van de organisatie is en hoe BMGRIP kan assisteren bij het voldoen aan de NIS2-richtlijn. Wij bieden een onafhankelijke blik op jouw organisatie.

Wij kunnen helpen bij het implementeren van verschillende verbeteringen naar aanleiding van het NIS2 impact assessment. Wij kunnen ook helpen bij het inrichten management systemen, het schrijven van beleid en procedures, personeel opleiden.

Normen die worden gecombineerd met de NIS2 richtlijn

• ISO 27001 certificering - Norm voor informatiebeveiligingsmanagementsystemen
• NEN 7510 certificering - Norm voor informatiebeveiliging in de zorg
• ISO 22301 certificering - Norm voor bedrijfscontinuïteit managementsystemen
• ISO 27701 certificering - Norm voor privacymanagementsystemen
• ISO 9001 certificering - Norm voor kwaliteitsmanagementsystemen
• ISO 27002 - Guideline voor de implementatie van een ISMS
• ISO 27006 - Guideline voor het uitvoeren van informatiebeveiliging risicoanalyses
• ISO 27017 - Norm voor  informatiebeveiliging bij clouddiensten
• ISO 27018 - Norm voor privacy bij cloudpartijen

Andere interessante certificeringen en services

• IEC 62443 certificering - OT Security
• ISAE 3402 certificering - Assurance
• Baseline Informatiebeveiliging Overheid certificering (BIO) - Informatiebeveiliging voor overheidsinstanties
• Certificatieschema Arbodiensten
• MedMij certificering - Persoonlijke gezondheidsomgeving
• AVG/GDPR compliant
• MDR certificering - Medical Device Regulation
• CISO inhuren - Chief Information Security Officer

Services m.b.t. managementsystemen

• Managementsystemen onderhouden
• Optimalisatie managementsystemen
• Inrichten managementsysteem