B.V. Nederland, pas op voor NIS2 cowboys!
Na de zoveelste post over NIS2 compliance, kunnen we het niet laten om B.V. Nederland bewust te maken van de cowboys van deze wereld. Zij die, over de rug van een goed initiatief om de verbetering van de digitale en economische weerbaarheid te verhogen, onzin de wereld in slingeren en bedrijven proberen te lokken naar hun website voor ongefundeerde dienstverlening.
Om een voorbeeld te noemen: een Facilitair Manager die opeens cybersecurity specialist is en een mooie post plaatst maar eigenlijk niet weet waar hij het over heeft. Roeptoetert om via zijn website te controleren of je onder de NIS2 valt en vervolgens aangeeft dat zij kunnen zorgen voor NIS2 compliance.
Een ander voorbeeld komt vanuit de technische kant. Security leveranciers die aangeven met hun oplossing ervoor te kunnen zorgen dat je aan de NIS2 gaat voldoen. Maar hoe dan?! Weten zij dan waar de risico’s van jouw bedrijf zich bevinden of wat jouw belangrijkste assets zijn? Nee dat weten ze niet. Laat je daarom niet verleiden om een tool aan te schaffen waarvan gezegd wordt dat je daarmee aan de NIS2 voldoet.
Dus, B.V. Nederland let op!
De overheid heeft een bron beschikbaar gesteld waar je kunt toetsen of je onder de NIS2 valt. Daarnaast geeft de overheid aan dat, zolang de wet- en regelgeving nog niet volledig duidelijk is, je kunt focussen op de voorbereiding op NIS2: https://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie. Maak daar gebruik van in plaats van een commerciële partij die een dergelijke check op NIS2 compliance aanbiedt!
Want, bestaat NIS2 compliance? Nee, dat bestaat nog helemaal niet!
Er is nog geen (NIS2) (implementatie)wet, de internet consultatie moet nog gestart worden. Hoe en waarop wil je dan je compliance gaan aantonen? Er is ook nog geen overheidsorgaan benoemd die de naleving, op de nog niet bestaande wet, gaat controleren.
Heb je ondersteuning nodig voor het zetten van de juiste stappen of wil je kunnen sparren over wat het beste voor jouw organisatie is? Doe dan een gedegen onderzoek naar een passende partner. Kijk hierbij met name naar het trackrecord. Wat hebben ze gedaan, welke kennis hebben ze zelf in huis, bij welke organisaties hebben ze deze kennis toe kunnen passen en wat heeft dat de opdrachtgever opgeleverd. Met andere worden: zoek een partner die aantoonbaar kennis heeft en kundig is.
Wees wijs met deze tips:
1. Ga niet in zee met een partner die je iets belooft wat niet kan.
Ga er niet vanuit dat je NIS compliance kunt kopen met een tool. Ga zelf aan de gang met het maken van een risicoanalyse, beoordeel de risico’s. Kies hiervoor een methode die internationaal erkend is en zorg voor vastlegging.
2. Bepaal aan de hand van een risicoanalyse of er passende maatregelen genomen moeten worden.
Je kunt hierbij gebruik maken van internationale normen die best practice maatregelen kunnen voorleggen. Bepaal als B.V. ook zelf wat passend voor je is en wat niet. Als je twijfelt, betrek een specialist met veel ervaring bij andere bedrijven om je hierin te ondersteunen.
3. Ga aan de slag met het opstellen van beleid, processen en procedures.
Zorg dat deze bekend en gedragen worden door je medewerkers (zij kunnen het geheel maken of breken) en stuur op dit beleid en de bijbehorende processen en procedures. Zorg voor het monitoren, detecteren en het verkrijgen van inzicht in incidenten, verstoringen en afwijkingen.
4. Ga aan de hand van de risicoanalyse aan de gang met het vaststellen van de maatregelen in de IT infrastructuur.
Als IT verantwoordelijke ben je veel beter in staat het IT budget te besteden daar waar het er echt toe doet. Creëer geen schijnveiligheid. Met het benoemen van de werkelijke risico’s kun je veel gerichter maatregelen nemen.
5. Zorg dat je een proces hebt ingeregeld bij incidenten.
Hiermee zorg je dat, wanneer een incident zich voordoet, je kunt reageren en acteren om de schade te minimaliseren. Zo kun je in een crisissituatie met elkaar de juiste afwegingen en keuzes kun maken.
Conclusie
Er zijn dus heel wat onderwerpen waar je als B.V. zelf mee aan de slag kunt gaan om straks, als de NIS2 er daadwerkelijk is, niet alsnog mee hoeft te beginnen. Want dan is het te laat. De overheid geeft hierin duidelijk richting, maak daar gebruik van. Commerciële partijen die je de totale oplossing bieden proberen vanuit eigenbelang een graantje mee te prikken, wees daar dus alert op!
Over Beschermheren
Beschermheren is specialist in informatiebeveiliging en privacy. Onze security experts en privacy officers helpen organisaties om ‘in control’ en compliant te zijn aan de huidige wet- en regelgeving. Met goed advies, en het inzichtelijk maken van mogelijke risico’s, treffen we de juiste maatregelen om beveiligingsrisico’s te minimaliseren. Meer weten? Bekijk onze aanpak of neem contact op!
Beschermheren
Daalwijkdreef 35
1103 AD Amsterdam
T 020 21 70 444
info@beschermheren.nl
Routebeschrijving
A man should look for what is, and not for what he thinks should be.
Albert Einstein