Het verduidelijken van de verwarring rond 'NIS2-certificering'

Hoe toont u NIS2-compliance zonder ‘NIS2-certificering?’

Regelmatig krijgen we de vraag of er een officiële ‘NIS2-certificering’ bestaat. Het korte antwoord is: nee. De Europese NIS2-cybersecurityrichtlijn is een pakket aan verplichtingen, geen specifieke certificering. Maar hoe kunt u aantonen dat uw organisatie wel voldoet aan de eisen van NIS2? In dit artikel geeft onze NIS2 consultant Niels van der Meij drie concrete adviezen over hoe u uw NIS2-compliance aantoont.

1. Gebruik bestaande standaarden als basis om NIS2 compliance aan te tonen

Van der Meij ziet dat veel bedrijven kiezen voor certificeringen die helpen om hun naleving aan NIS2 aan te tonen: ‘Dit is inderdaad een logische stap, want artikel 23 van NIS2 verwijst naar het implementeren van nationale of internationale normeringen en standaarden om risico’s te mitigeren.’ Organisaties kunnen, afhankelijk van hun sector, een paar certificeringen gebruiken, zoals:

1. BIO (Baseline Informatiebeveiliging Overheid) voor overheidsinstellingen, zoals gemeenten.
2. NEN7510 voor de zorgsector.
3. ISO27001 voor diverse bedrijven en sectoren.
4. IEC62443 voor de industriële sector.
5. NIST CSF framework.

‘Deze normeringen sluiten vaak nauw aan bij de vereiste zorgplicht van NIS2’, zegt Van der Meij, en dat helpt om compliance-inspanningen te onderbouwen. Naleving van een van deze standaarden is een grote stap op weg naar volledige NIS2-naleving en klanten of leveranciers zullen dit erkennen.’

2. Gebruik een NIS2-keurmerk om compliance aan te tonen

Voor kleinere bedrijven, zoals zzp’ers en mkb-organisaties, kan het lastig zijn om aan uitgebreide certificeringen te voldoen. ‘Voor deze bedrijven is het wel belangrijk om NIS2-compliance aan te tonen, vooral als zij leveren aan een bedrijf dat onder NIS2 valt – het beheer van leveranciersrisico’s is namelijk een belangrijk onderdeel van NIS2. In dat geval kan een keurmerk uitkomst bieden,’ zegt Van der Meij.

Er zijn meerdere keurmerken in omloop in Nederland. Bijvoorbeeld het NIS2 Quality Mark van Samen Digitaal Veilig. Van der Meij: ‘Dit keurmerk bevestigt dat een organisatie de basisvereisten van NIS2 volgt. Het NIS2 Quality Mark is een selectie van normen uit ISO27001 en omvat aspecten zoals risicobeoordeling, incidentbeheer en gegevensbescherming.’

Het NIS2 Quality Mark is vooral bedoeld voor kleine organisaties voor wie een ISO27001 (nog) te hoog gegrepen is en is niet bedoeld voor grotere organisaties voor wie een volledige ISO27001 certificering of vergelijkbaar wel tot de mogelijkheden behoort. ‘Maar een beperkte certificering voor kleine organisaties is beter dan helemaal geen certificering.’

Niels van der Meij: 'Wij steunen het NIS2 Keurmerk volledig als een opstap voor kleinere organisaties om te starten met een beperkte scope. Het NIS2 Keurmerk stimuleert jaarlijkse groei en uitbreiding van de scope, wat bepaalde bedrijven in staat kan stellen om op termijn het volledige ISO27001-framework te omarmen.'

Een ander NIS2-keurmerk is CYRA (CYber RAting): dit is een keurmerk dat is ontwikkeld voor de high-tech sector. Dit is dus geschikter voor grotere bedrijven.

3. Gebruik NIS2 trainingscertificaten om compliance aan te tonen

Een derde manier om NIS2-compliance aan te tonen, in ieder geval als het gaat om de trainingsvereisten van NIS2, zijn trainingscertificaten: ‘Volgens NIS2 moeten bestuurders de nodige kennis hebben over cyberdreigingen en hoe hun organisatie daarmee omgaat. Dit betekent dat bestuurders pro-actief op de hoogte moeten blijven van hun cyberbeveiligingsbeleid,’ zegt Van der Meij. ‘Het niet meer genoeg om simpelweg “toestemming te geven” voor een beleid; ze moeten aantoonbaar betrokken zijn en op de hoogte zijn van de actuele risico’s en maatregelen en deze maatregelen ook goedkeuren.’

De simpelste manier om aan te tonen dat het bestuur inderdaad hieraan voldoet, is door NIS2-trainingscertificaten. Meerdere bedrijven bieden deze aan, ook Secura: ‘Met onze NIS2 Board Room Training kunnen bestuurders aantonen dat zij voldoen aan hun verantwoordelijkheden onder NIS2.’

Na afloop van de training ontvangen bestuurders een certificaat dat bevestigt dat ze voldoende kennis hebben opgedaan om hun rol effectief te vervullen volgens de NIS2-vereisten. Van der Meij: ‘Dit certificaat kan een waardevol document zijn bij juridische of auditprocessen, omdat het aantoont dat de organisatie niet alleen bewust is van de wettelijke eisen, maar ook actief investeert in de kennis van hun bestuurders op het gebied van cybersecurity.’

Een integrale aanpak voor NIS2-compliance

Hoewel NIS2-certificering zelf niet bestaat, kunnen organisaties die hun compliance willen aantonen gebruikmaken van een aantal verschillende mogelijkheden: met bestaande certificeringen zoals ISO27001 of NEN7510 komt u een eind de richting; een keurmerk als het NIS2 Quality Mark; en trainingscertificaten voor bestuurders.

Hoe groter een organisatie is of hoe kritieker de diensten of gegevensverwerkingsactiviteiten, hoe groter de behoefte aan het implementeren van extra beveiligingsmaatregelen om aan de NIS2-vereisten te voldoen.

‘In de praktijk is NIS2 geen “one-size-fits-all”-oplossing’, zegt Van der Meij tot slot. ‘Of u nu een groot bedrijf, een leverancier of een bestuurder bent, het naleven van de NIS2-richtlijn vraagt om constante aandacht en inzet. De NIS2 is nieuw maar de onderwerpen die in NIS2 verplicht gesteld worden zijn dat natuurlijk niet. Door onze jarenlange ervaring met Cybersecurity op het vlak van zowel Mens als Proces en Techniek, kunnen wij uw organisatie ondersteunen met onze geïntegreerde aanpak en een roadmap om NIS2-compliance te bereiken.’

Download onze NIS2 gids

Wilt u meer weten over NIS2? Download gratis de Praktische Gids voor NIS2.

Download NIS2 Gids