Wat het kader vereist
Reikwijdte: wie NIS2 dekt
NIS2 verbreedt de oorspronkelijke NIS-richtlijn naar essentiële entiteiten (energie, transport, banken, financiële-marktinfrastructuur, gezondheid, drinkwater, afvalwater, digitale infrastructuur, ICT-servicebeheer, openbaar bestuur, ruimtevaart) en belangrijke entiteiten (post- en koerierdiensten, afvalbeheer, vervaardiging en distributie van chemicaliën, voedingsmiddelen, medische hulpmiddelen, motorvoertuigen, computers, elektronica, elektrische apparatuur, machines, digitale providers, onderzoek).
De omvangdrempel (doorgaans meer dan 50 medewerkers en EUR 10 mln omzet) brengt veel meer organisaties in scope dan de oorspronkelijke richtlijn. Lidstaten hebben NIS2 in nationaal recht omgezet met nationale varianten.
Artikel 21: risicobeheersmaatregelen
Artikel 21 vereist dat entiteiten passende en evenredige technische, operationele en organisatorische maatregelen nemen op ten minste: risicoanalyse en beleid voor informatiesysteembeveiliging; incidentafhandeling; bedrijfscontinuïteit (back-ups, disaster recovery, crisisbeheer); supply-chain-beveiliging inclusief de beveiliging van leveranciers; beveiliging in acquisitie, ontwikkeling en onderhoud van netwerk- en informatiesystemen; beleid en procedures om de effectiviteit te beoordelen; basis-cyberhygiëne en training; cryptografie en encryptie; HR-beveiliging, toegangscontrole en assetbeheer; en multi-factor authenticatie of continue authenticatie.
Artikel 23: incidentrapportage
Significante incidenten moeten in drie fasen aan de bevoegde autoriteit of CSIRT worden gemeld: een vroege waarschuwing binnen 24 uur; een incidentmelding binnen 72 uur; en een eindrapport binnen één maand. De drempel voor 'significant' is gedefinieerd in de richtlijn en de nationale omzetting.
Hoe onze diensten aansluiten op compliance
- Supply-chain-beveiliging (artikel 21(2)(d)). Mission Support brengt gedocumenteerd leveranciersbeheer: screening, contractclausules en de audittrail die supply-chain-beveiligingsverplichtingen vereisen. Waar fysieke beveiliging onderdeel is van de supply chain van de operator, sluit ons werk direct aan op het NIS2-bewijsdossier.
- Incidentafhandeling en continuïteit. Onze 24/7 alarmcentrale, mobiele respons en gedocumenteerde incidentprotocollen ondersteunen de incidentafhandelings- en continuïteitsverplichtingen van een operator. Logs en after-action-rapporten worden geproduceerd op een niveau dat een toezichthouder-review doorstaat.
- Fysieke beveiligingscontroles en analyse. Risico- en dreigingsanalyse, site-hardening, drone counter-measures en TSCM koppelen direct aan de fysieke-beveiligingselementen van artikel 21. Het werk wordt gedocumenteerd in een vorm die in het bewijsdossier van een operator past.