NIS2-richtlijn Article 21(2) Richtlijn 2022/2555

De tien maatregelen voor het beheer van cyberbeveiligingsrisico’s.

Article 21(2).

Article 21 van de NIS2-richtlijn vereist dat lidstaten ervoor zorgen dat essentiële en belangrijke entiteiten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheersen. Deze maatregelen moeten gebaseerd zijn op een alle-gevaren-benadering en omvatten ten minste de volgende tien gebieden.

(a) Risicoanalyse & informatiebeveiligingsbeleid.

Organisaties moeten beleid voor risicoanalyse en informatiesysteembeveiliging opstellen en onderhouden. Dit omvat het definiëren van een governancekader, het uitvoeren van regelmatige risicobeoordelingen, het bijhouden van een risicoregister en het vaststellen van herzieningscycli voor beveiligingsbeleid. De beoordeling van Konforme dekt beleidsvolwassenheid, volledigheid van het risicoregister en governancestructuur.

(b) Incidentafhandeling.

Procedures voor het voorkomen, detecteren en reageren op incidenten, inclusief escalatiepaden en meldingsverplichtingen. NIS2 introduceert strikte tijdlijnen voor incidentrapportage — een vroegtijdige waarschuwing binnen 24 uur, een incidentmelding binnen 72 uur en een eindrapport binnen één maand. Konforme volgt uw volwassenheid op het gebied van incidentafhandeling en de gereedheid van uw responsplan.

(c) Bedrijfscontinuïteit & crisisbeheer.

Bedrijfscontinuïteitsbeheer, inclusief back-upbeheer, noodherstel en crisisbeheer. Organisaties moeten ervoor zorgen dat ze essentiële functies kunnen handhaven tijdens en na een incident. Konforme scant uw cloudback-upconfiguraties en beoordeelt de volwassenheid van uw BCP/DRP-documentatie.

(d) Toeleveringsketenbeveiliging.

Beveiligingsaspecten met betrekking tot de relaties tussen elke entiteit en haar directe leveranciers of dienstverleners. Dit omvat het beoordelen van leveranciersrisico’s, contractuele beveiligingsvereisten en het monitoren van de toeleveringsketen op kwetsbaarheden. Konforme evalueert uw processen voor leveranciersrisicobeheer en controles van derden.

(e) Beveiliging van netwerk- & informatiesystemen.

Beveiliging bij de acquisitie, ontwikkeling en het onderhoud van netwerk- en informatiesystemen, inclusief afhandeling en openbaarmaking van kwetsbaarheden. De technische scanner van Konforme controleert uw AWS- en Azure-configuraties tegen NIS2-gekoppelde controles voor netwerksegmentatie, firewallregels, VPC-beveiliging en kwetsbaarheidsbeheer.

(f) Effectiviteitsbeoordeling.

Beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen. Organisaties moeten regelmatig hun beveiligingshouding testen en evalueren. Konforme biedt continue scoring die precies laat zien waar uw nalevingshiaten zitten en hoe ze in de loop van de tijd evolueren.

(g) Cyberhygiëne & training.

Basispraktijken voor cyberhygiëne en cyberbeveiligingstraining voor personeel. NIS2 vereist uitdrukkelijk dat ook bestuursorganen een opleiding volgen. Met de trainingscampagnes voor medewerkers van Konforme kunt u beleidsbevestigingen en beveiligingsquizzen toewijzen, voltooiing bijhouden en een audittrail opbouwen.

(h) Cryptografie & versleuteling.

Beleid en procedures met betrekking tot het gebruik van cryptografie en, waar passend, versleuteling. De technische scanner van Konforme controleert configuraties voor versleuteling in rust en tijdens transport in uw cloudinfrastructuur — S3-buckets, RDS-instances, EBS-volumes, Azure Storage en meer.

(i) HR-beveiliging & toegangscontrole.

Beveiliging van personeel, toegangscontrolebeleid en vermogensbeheer. Dit dekt de volledige levenscyclus van medewerkers, van onboarding tot offboarding, rolgebaseerde toegangscontrole en het principe van minimale rechten. Konforme controleert IAM-configuraties, wachtwoordbeleid en beoordeelt uw HR-beveiligingsprocessen.

(j) Multi-factorauthenticatie.

Het gebruik van multi-factorauthenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie, en beveiligde noodcommunicatiesystemen binnen de entiteit. Konforme controleert de handhaving van MFA in uw cloudaccounts en beoordeelt uw authenticatiehouding op holistische wijze.

Konforme koppelt elke beoordeling en maatregel aan deze tien vereisten.

Start uw beoordeling →
  1. Article 21(2) van Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022.
  2. De hierboven vermelde maatregelen vertegenwoordigen de minimumvereisten. Lidstaten kunnen aanvullende maatregelen opleggen via nationale omzetting.
  3. Essentiële entiteiten zijn onderworpen aan proactief toezicht; belangrijke entiteiten zijn onderworpen aan reactief toezicht.