.svg){kind=logo}
.svg){kind=logo}
.svg){kind=logo}
.svg){kind=logo}
.svg){kind=logo}
.svg){kind=logo}
.svg){kind=logo}
Wat zijn NIS2 en DORA en waarom zijn ze belangrijk?
Waarom nog meer regelgeving voor effectieve databescherming vraag je je misschien af. Maar elke dag weer blijkt uit grote aantallen hacks, datalekken en andere cyberellende dat er nog steeds veel werk aan de winkel is als het gaat om het beveiligen van informatie. Zeker wanneer het gaat om persoonlijke of andere gevoelige gegevens.
Net als ISO-certificeringen (ISO 27001, ISO 22301) zijn NIS2 en DORA gefocust op het verbeteren van informatiebeveiliging, risicobeheer en de operationele weerbaarheid van organisaties.
NIS2 is een nieuwe richtlijn van de Europese Unie, gericht op het verbeteren van de netwerk- en informatiebeveiliging in kritieke sectoren. Denk bijvoorbeeld aan de energiesector, het bankwezen, en de gezondheidszorg. Maar ook de steeds groter wordende groep SaaS-dienstverleners en hun klanten vormen zonder goede informatiebeveiliging een makkelijk doelwit voor kwaadwillenden.
De Network Information Systems Directive 2, zoals de NIS2-richtlijn voluit heet, gaat in oktober van dit jaar in en is een herziening van de van oorspronkelijke richtlijn, NIS. De vernieuwde richtlijn heeft nóg strengere regels voor wat betreft veiligheidsmaatregelen en het rapporteren van incidenten, en raakt bovendien een grotere groep bedrijven.
Overlap in belangrijkste eisen van NIS2 en DORA
| Belangrijke eisen | NIS2 | DORA |
| Documenten opslaan en beheren | Nodig | Nodig |
| Registratie incidenten en rapportages | Nodig | Nodig |
| Audit trail en bewijsmateriaal | Nodig | X |
| Registratie testen en beoordelingen | X | Nodig |
| Beheer dienstverleners | X | Nodig |
| Toegangsbeheer en beveiliging | Nodig | X |
De Digital Operational Resilience Act (DORA) is een Europese verordening die de digitale weerbaarheid van financiële instellingen versterkt. Deze richtlijn gaat vanaf 17 januari 2025 in, en zal niet alleen gelden voor bijvoorbeeld banken, kredietverstrekkers en verzekeringsmaatschappijen; ook ICT-dienstverleners die een belangrijke rol spelen in het financiële ecosysteem moeten aan de strenge eisen van DORA voldoen.
Een extra uitdaging bij DORA is dat Europese toezichthoudende autoriteiten nog bezig zijn met het ontwikkelen van de nodige normen. Maar voor je het weet is het weer januari, dus wacht vooral niet tot alle wet- en regelgeving in beton is gegoten. Ga nu alvast beginnen met de voorbereidingen, dan weet je zeker dat je binnen de deadlines blijft.
Wat is de impact van NIS2 en DORA op mijn organisatie?
Het is een vraag die menigeen zich op dit moment stelt. Over het antwoord op deze vraag zou je een boek kunnen schrijven, maar op hoofdlijnen komt de gecombineerde impact van NIS2 en DORA neer op het volgende:
- Verhoogde compliance vereisten
Je organisatie moet voldoen aan beide regelgevingen, wat betekent dat er gewerkt moet worden aan je cybersecurity-infrastructuur, personeelstraining en compliance processen. - Betere cyberweerbaarheid
Door de striktere eisen en regelmatige audits zal je organisatie beter bestand zijn tegen cyberdreigingen en operationele verstoringen. - Risicobeheer
Het verbeteren van het beheer van cyberrisico’s en de integratie van risicobeheerstrategieën zal helpen om potentiële kwetsbaarheden te identificeren en te verminderen.
Niet-naleving van deze regelgevingen kan leiden tot zware boetes, vervelende sancties, en reputatieschade – zover wil je het natuurlijk niet laten komen. Daarom onderstaand wat handvatten om je organisatie klaar te stomen voor de nieuwe regelgeving.
Zo bereid je je voor op de implementatie van NIS2 en DORA
Voordat je de bestaande situatie kunt verbeteren, moet je natuurlijk eerst weten hoe je er op dit moment voorstaat. Een grondige risicoanalyse is daarmee een logische eerste stap en vormt de basis voor een effectief beveiligingsplan.
Regelmatige penetratietesten en kwetsbaarheidsbeoordelingen zorgen ervoor dat je cybersecurity-infrastructuur bijblijft wat betreft relevante nieuwe ontwikkelingen en cyberdreigingen.
Het trainen van personeel is iets dat je zeker niet over het hoofd wil zien. Beveiliging blijft mensenwerk, dus zorg voor continue bewustwordingsprogramma’s waarmee je de kennis en waakzaamheid van medewerkers op peil houdt.
Vermijd de valkuil van een eenmalige benadering; naleving van zowel NIS2 als DORA vraagt om een voortdurende inspanning en aanpassing aan nieuwe dreigingen. En dat doe je niet alleen om te voldoen aan de wet, maar vooral om je cyberweerbaarheid te versterken. Want dat is uiteindelijk waar we het allemaal voor doen.
NIS2 en DORA-ready: waarom WoodWing Xtendis out-of-the-box voldoet aan de hoogste normen van informatiebeveiliging
Automatisering kan een waardevol hulpmiddel zijn om je te helpen bij het voldoen aan NIS2 en DORA. Bijvoorbeeld met het continu monitoren van je IT-infrastructuur, het verzorgen van rapportages en het snel reageren op incidenten.
Moderne Enterprise Information Management (EIM) systemen zijn in het kader van NIS2 en DORA ook hun prijs in goud waard. Neem WoodWing Xtendis dat is gebaseerd op meer dan 30 jaar ervaring in informatiemanagement en -beveiliging. Zowel de Xtendis organisatie als de software worden regelmatig door onafhankelijke derde partijen getoetst op hun veiligheid. Gebruik je WoodWing Xtendis, dan voldoen je out-of-the-box voor 90% aan NIS2 en DORA.
Meer weten?
Wil je meer weten over deze belangrijke nieuwe richtlijnen en hoe je in de praktijk op de beste manier op de invoering van deze rergels kunt anticiperen? Neem dan zeker eens contact op met de specialisten van WoodWing Xtendis – zij zullen je met plezier van gedegen advies voorzien.
Hieronder kun je het webinar nog eens op je gemak terugkijken.
