Rijksoverheid brengt NIS2-Quickscan uit ter voorbereiding op NIS2-richtlijn

De Rijksoverheid heeft een hulpmiddel uitgebracht om voor organisaties inzichtelijk te maken hoe zij zich kunnen voorbereiden op de aankomende NIS2-richtlijn. Volgens de nieuwe richtlijn moeten bepaalde ondernemers eind 2024 voldoen aan strengere beveiligingseisen.

De NIS2-Quickscan is vooral bedoeld voor IT- en cybersecurityspecialisten en -verantwoordelijken binnen organisaties, zegt het Digital Trust Center. De tool schotelt hen veertig ja-neevragen voor, waarmee zij bewust worden gemaakt van de status van de digitale weerbaarheid in hun organisatie. Ook stelt de Quickscan per thema technische of organisatorische maatregelen voor, die kunnen bijdragen aan de digitale weerbaarheid van organisaties.

De NIS2 is een technologische richtlijn die is opgelegd door de Europese Commissie. De richtlijn gaat over de beveiliging van netwerk- en informatiesystemen. De NIS2 volgt de NIS uit 2016 op en brengt nieuwe regels met zich mee. Daarnaast moeten meer sectors voldoen aan de richtlijn. Afgelopen oktober bracht de Rijksoverheid al een tool uit waarmee organisaties kunnen inschatten of zij onder de richtlijn vallen.

De NIS2-richtlijn is nog niet van toepassing op Nederlandse bedrijven. Omdat het om een Europese richtlijn gaat, moeten Europese lidstaten, waaronder Nederland en België, deze eerst nog omzetten naar nationale wetgeving. Daar hebben de lidstaten tot eind 2024 voor.

Reacties (48)

Motrax 29 februari 2024 12:57

Ja laten we vooral iets uitbrengen dat niets doet aan de daadwerkelijke pijnpunten van de richtlijn!

NIS1 was verplicht voor bedrijven die werden aangewezen door de overheid.

Bij NIS2 moeten bedrijven zelf de inschatting maken of ze onder NIS2 vallen, of niet. De richtlijnen daarvoor zijn dusdanig onduidelijk dat je met het beide kanten op kan redeneren of je nu wel of niet onder NIS2 valt.

De uitdaging zit in het volgende:

NIS2 affects all entities that provide essential or important services to the European economy and society, including companies and suppliers.

Gevolgd door deze:

An entity may still be considered “essential” or “important” even if it does not meet the size criteria, in specific cases such as when it is the sole provider of a critical service for societal or economic activity in a Member State.

Railgunner

@Motrax • 29 februari 2024 13:01

De overheid heeft een tool uitgebracht waarmee je kunt bepalen of jouw organisatie onder de NIS2 gaat vallen: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/

Je kunt in de wettekst van de EU (toegegeven, niet erg toegankelijk voor de gemiddelde medewerker) de definities van de in de tool genoemde essentiële/belangrijke sectoren terugvinden.

Orangelights23 @Railgunner • 29 februari 2024 13:06

Plus de grote disclaimer dat het een indicatie is, niet een bindend resultaat.

Frame164 @Railgunner • 29 februari 2024 14:05

De gemiddelde medewerkers hoeft ook geen wetteksten te kunnen lezen. Daar heeft een bedrijf een legal team voor, die relevante wetten vertaald naar wat het betreffende bedrijf moet doen.

Zer0 @Frame164 • 29 februari 2024 14:24

Daar heeft een bedrijf een legal team voor,

Grote bedrijven wellicht, maar vele kleinere bedrijven hebben geen "legal team", en dan is het wel prettig dat je eerst zelf een scan kan doen voor je (dure) juristen inhuurt.

Hyronymus @Zer0 • 29 februari 2024 20:57

In de link die Railgunner deelt kun je (onder andere) lezen dat:

De organisatie heeft een bepaalde minimale omvang

Zer0 @Hyronymus • 1 maart 2024 08:12

Ja, en welke omvang is dat? Aantal medewerkers, omzet, etc?
Daarnaast, ook micro- en kleinbedrijven in kritieke sectoren vallen onder NIS2.

Hyronymus @Zer0 • 1 maart 2024 21:00

Vul het formulier in en je komt erachter!

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Motrax • 29 februari 2024 13:18

De richtlijnen daarvoor zijn dusdanig onduidelijk dat je met het beide kanten op kan redeneren of je nu wel of niet onder NIS2 valt.

Dat is mijn ervaring helemaal niet. De overheid levert duidelijke informatie op dit punt en heeft een tool ontwikkeld waarmee je zelf relatief eenvoudig kan controleren of je onder de NIS2 valt of niet.

Wat je hier boven lijkt aan te halen is de wettekst die sowieso nog vertaald moet worden naar een Nederlandse implementatie.

Tortelli

@Bor • 29 februari 2024 13:27

Tool is vrij onduidelijk in mijn ogen. Als dienstverlener krijg je geen duidelijk antwoord is mijn ervaring (voor de sectoren waar wij in werken). Simpelweg omdat dienstverlener onder “overige” valt en we zover ik kan achterhalen dan niet hoeven te voldoen (we hebben geen monopolie).

kodak

Beveiliging en antivirus

@Tortelli • 29 februari 2024 14:52

Zoals andere tweakers al noemen is er niet zomaar eenduidige duidelijkheid te geven. Wat het gevolg is van de wet.
Je lijkt te stellen dat de tool dan iets aan die pijnpunten uit de wet moet doen. Dat lijkt me niet de bedoeling als de wet stelt dat je zelf verantwoordelijk bent. Dan zul je zelf beslissingen moeten nemen. En daar lijkt de tool dus voor te bestaan: zodat je je kan voorbereiden rekening te houden dat er bijvoorbeeld tegenstrijdig kan zijn.

Tortelli

@kodak • 29 februari 2024 15:13

Dat is ook het gene wat wij doen (al veel langer mee bezig zijn) maar met de resultaten in ons geval kun je alle kanten op.

tc982 @Tortelli • 29 februari 2024 17:48

Euh, Service Providers worden expliciet vernoemd en vallen zeker niet onder “Other”. Beheer van ICT diensten wordt expliciet als categorie essentieel benoemd. Werk aan de winkel zou ik zeggen.

Tortelli

@tc982 • 29 februari 2024 18:01

We zijn geen IT dienst, dat is nogal een open deur.

[Reactie gewijzigd door Tortelli op 23 juli 2024 13:07]

tc982 @Tortelli • 29 februari 2024 18:04

Dat was dan een verkeerde assumptie op een technologie site 😅.

NIS2 zal direct of indirect impact hebben op organisaties die werken met andere organisaties. Je kan kiezen om dit te zien als een argument waarom jullie veilig met data van klanten kunnen omgaan. Maar het is inderdaad niet verplicht.

MOmax @Motrax • 29 februari 2024 13:14

Kan je het pijnpunt wat duidelijker verwoorden, want ik zie 'm niet helemaal?

Stel, je bent een onwillige/ontkennende supplier en je levert essentiële diensten aan een NIS2 entiteit. Deze laatste zal vanuit hun eigen cyber-RIE vroeg-of-laat toch deze supplier 'helpen' om tot inkeer te komen, of afscheid te nemen van de supplier. Dus dat komt m.i. altijd goed...

Er is zoveel wetgeving op basis van zelf-verklaren (denk bijvoorbeeld aan CE-markering). Deze wetgeving is niet geschreven om de verantwoordelijken te helpen, maar wel om achteraf te (hopelijk proportioneel) handhaven als er dingen fout zijn gegaan.

Je weet wat ze zeggen: "Wetten en worstjes; je wilt niet weten hoe ze gemaakt worden."

@Motrax: nice nickname.

[Reactie gewijzigd door MOmax op 23 juli 2024 13:07]

svennd @Motrax • 29 februari 2024 13:24

Het doel van de richtlijn is Europa (cyber)weerbaarder te maken. Als bedrijf moet je dus gewoon weerbaarder worden, eenerzijds verplicht is bepaalde sectoren. (annex 1, annex 2) Anderzijds omdat je vast samenwerkt met andere bedrijven die mogelijks verplicht zijn.

Het CCB (België) heeft met CyFun alvast een stevige guideline om weerbaarder te worden. Het grote verschil tussen de niveau's (important/essential) zit hem voornamelijk in hoogte van de -mogelijke- straffen en hoevaak je controle kan krijgen.

Ik denk als bedrijf dat zeker de Key measures (laatste paar pagina's) een goeie checklist zijn om te zien waar er een gap is.

geeMc @Motrax • 29 februari 2024 13:05

Ik moet zeggen dat ik tot op heden nog maar weinig heb meegekregen over NIS2 en ik ben zojuist even door die quickscan heen gelopen. Het eerste wat mij opvalt is hoe bedrijven niet groen kunnen scoren op al deze punten. Ik heb alles naar volledige waarheid ingevuld en er was letterlijk geen enkele categorie waar ik minder dan groen scoorde. Dat baart mij op twee mogelijke manieren zorgen; of NIS2 stelt gewoon niks voor, of de quickscan tool is gewoon veel te beperkt. Afijn, ik denk dat ik me maar eens in moet lezen over deze hele norm.

Razzstep @geeMc • 29 februari 2024 14:09

Het punt van de NIS 2 is dat je als organisatie verplicht wordt om maatregelen te treffen in verhouding tot het risico dat jij, jouw afnemers / de maatschappij lopen. Dit is natuurlijk lastig in een questionnaire te vatten, anders dan dat je een aantal dingen in ieder geval op papier moet hebben om überhaupt tot dat punt te komen.

Als risiconemende start-up zien jouw risico's en genomen maatregelen er drastisch anders uit dan de risico-averse blue chip organisatie. Zolang je dit maar helder kunt maken, zit je gechargeerd gezegd goed binnen NIS 2.

lplesage @Motrax • 29 februari 2024 15:18

De voorbeelden die je aandraagt zijn mij helemaal duidelijk. Het woord 'entity' heb ik even voor het gemak vertaald naar 'bedrijven'.
Voorbeeld 1 zijn bedrijven die een belangrijke bijdrage leveren aan de EU.
Voorbeeld 2 zijn bedrijven die binnen een EU land als enige een economische activiteit of belangrijke dienst verlenen.

djwice

29 februari 2024 13:17

Net de vragen doorgenomen. Als je wil kun je er met een Jantje van Leiden mee af.

Genereer beleidsdocumenten, richt een formulier in, reageer automatisch op de e-mail uit het formulier. Rapporteer hoeveel e-mails ontvangen zijn en hoeveel er automatisch zijn beantwoord. Stuur dit automatisch naar bewindvoerders.
Definieer het aantal automatisch beantwoordde meldingen als "effectief afhandelen".

Valt een systeem uit, stuur automatisch een bericht naar de autoriteit. En rapporteer dit appart in het rapport als adequaat melden van het incident.

Bij een online training vul je een paar keer de eind test in, totdat ie goed is. Je laat medewerkers dat ook doen.

En zo heb je een hoge score, maar of het werkelijke doel wordt behaald...

[Reactie gewijzigd door djwice op 23 juli 2024 13:07]

Keypunchie @djwice • 29 februari 2024 13:25

Mja, dat zou je kunnen doen.

Het vervelende is dat in Nederland heel veel ICT bedrijven diensten-leverancier zijn. Wat je dan krijgt is dat je grote klanten NIS2 verplicht gaan stellen. Zul je net iets doen voor een drinkwaterbedrijf of bank, moet je de hele papierwinkel op orde gaan brengen.

Wat je zult zien is dat je er dan als klein bedrijf moeilijker tussen kan komen dan als een grote consultancy-firma.

Ik zeg niet per se dat dat slecht is, maar het is wel 1 van de redenen waarom de dynamiek in de IT-sector in Europa een stuk lager ligt dan in bvb. de VS

SPee @Keypunchie • 29 februari 2024 13:52

Ben je dan als ZZP-er ook gebonden om je te houden aan de NIS2 ?

djwice

@SPee • 29 februari 2024 14:03

Dat kun je hier testen:
https://regelhulpenvoorbedrijven.nl/NIS-2-NL/

OruBLMsFrl @SPee • 29 februari 2024 18:10

Zal voor 99% van de ZZP'ers van de klant afhangen waar je voor werkt. Veel meer opdrachtgevers zullen voorwaarden gaan stellen, of strengere voorwaarden gaan stellen, rond cybersecurity omdat die opdrachtgevers direct of op hun beurt zelfs ook weer indirect met NIS2 te maken krijgen.

djwice

@Keypunchie • 29 februari 2024 14:04

Wat ik bedoelde was eigenlijk dat het een papierwinkel is. Uiteraard sta ik er achter dat bedrijven hun beveiliging op orde brengen en te houden.

Ik denk dat het uiteindelijk ook kosten effectief is voor een bedrijf om dat te doen. Omdat het zorgt voor minder incidenten, dus ben je minder bezig met brandjes blussen en kun je de focus leggen op je kern activiteit.

[Reactie gewijzigd door djwice op 23 juli 2024 13:07]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@djwice • 29 februari 2024 16:07

Wat ik bedoelde was eigenlijk dat het een papierwinkel is. Uiteraard sta ik er achter dat bedrijven hun beveiliging op orde brengen en te houden.

Het is geen papierwinkel omdat je er met alleen beleid niet bent. Dit vertaal je doorgaans in procedures etc en gebruik je uiteindelijk om maatregelen te selecteren (technisch en organisatorisch) en te sturen. De verplichtingen uit de NIS2 vereisen (veel) meer dan alleen een papierwinkel; het gaat met name om de basis veiligheid op orde hebben.

djwice

@Bor • 29 februari 2024 16:13

Ok, dan vond ik de test vragen niet heel representatief.

Frame164 @djwice • 29 februari 2024 14:22

Maar beleidsdocumenten zijn wel een eerste stap naar verbetering binnen een organisatie. Vanuit de beleidsdocumenten definieer je vervolgens algemende beveiligings requirements waar alle producten en diensten aan moeten voldoen. En die vertaal je weer naar productrequirements. Tijdens de productontwikkeling toets je continue of het product aan de algemene requirements voldoen.

En natuurlijk zullen er altijd organisaties zijn die het zo simpel mogelijk proberen te houden, maar die vallen vanzelf door de mand als de eisen steeds hoger worden.

PloLeider 29 februari 2024 15:04

Ik kan dit wel waarderen. De informatievoorziening een tooling die vanuit de overheid wordt aangeleverd is in ieder geval al een stuk fijner en duidelijker dan destijds bij de invoering van de AVG. De Nederlandse versie van de NIS2 is nog niet afgerond, maar het is goed dat het onderwerp op deze manier op de agenda komt.
NIS2 is zeker niet de heilige graal als het gaat om cybersecurity in het bedrijfsleven, maar het zet bedrijven die er nu te weinig aan doen wel aan het denken. Men wordt als het ware steeds meer gedwongen, en dat is wat mij betreft wel goed.

djack 29 februari 2024 13:55

Al die richtlijnen zijn leuk en wel maar zolang wij producten op de markt mogen brengen die regels aan hun laars mogen lappen dan is het dwijlen met de kraan open.
Het erge van al is dat wij EU burgers er vaak niet om malen (tweakers buiten beschouwing gelaten) zolang het maar goedkoop is en we zelf onze job er niet voor verliezen.

Recent nog productvoorstelling meegemaakt van een chinees product waarvan de prijs 1/3 was van het EU product, op vlak van functionaliteit en degelijkheid kon ik niet veel aanmerken maar de servers stonden in China dus alle gegevens werden lekker naar China doorgegeven (ook gezichtsherkenning, audio, ....) en iedereen in de zaal vond het blijkbaar maar normaal want het is goedkoop ....
Dan spring ik uit mijn vel en dan denk ik we doen het in Europa ons zelf aan, de VS is een muur aan het bouwen, Rusland zorgt voor zichzelf, China dumpt zijn producten overal en wij in de EU slikken alles als zoete broodjes omdat het goedkoop is...

Frame164 @djack • 29 februari 2024 14:13

Dat wordt ook afgedekt in de regelgeving. Spullen op de markt brengen die dan niet voldoen is dan illegaal. Net zoals andere producten op de markt brengen die niet aan de regelgeving voldoet.

djack @Frame164 • 29 februari 2024 15:03

Net als te snel rijden verboden is .... het gaat hem over het afdwingen van de regels.
Ik werk zelf in de tech wereld en als ik zie wat voor producten er door mijn handen gaan die van ver compliant zijn met een of andere regelgeving maar toch als zoete broodjes over de toonbank gaan en door bedrijven verkocht worden dan schort er toch wel iets aan ....

kodak

Beveiliging en antivirus

@djack • 29 februari 2024 15:51

Het afdwingen is op basis van de regels (je hoort niet zomaar iets te doen, en al helemaal niet als de wetgever het uitdrukkelijker verbied of verantwoordelijkheid geeft niet zomaar risico te nemen) en handhaving (controleren en waar nodig sancties opleggen).

Als een bedrijven en personeel alleen maar iets onredelijk vinden zolang anderen ze niet verantwoordelijk houden dan lijkt dat meer op wegkijken en de wet niet interpreteren zoals de wetgever bedoeld.

djack @kodak • 29 februari 2024 15:56

Ik vraag me af wie verantwoordelijk is?

De importeur de distributeur de verkoper de installateur of de eindgebruiker?

kodak

Beveiliging en antivirus

@djack • 29 februari 2024 16:08

Het punt is dat het niet de bedoeling is om verantwoordelijkheid zomaar af te schuiven, zoals veel bedrijven nu nog doen.

Heroic_Nonsense

29 februari 2024 13:16

Als kleine wederverkoper van domeinnamen (als in - ik bouw websites en registreer meteen de domeinnaam als klant daarom vraagt) ben ik volgens die tool gehouden aan de NIS2-richtlijn.

Ik ga mijn klanten vanaf nu zelf de domeinnamen in laten kopen - scheelt een hoop gedoe.

RobbieB @Heroic_Nonsense • 29 februari 2024 13:43

Dat scheelt je sowieso een hoop legal gedoe, los van NIS2, mocht er ooit iets met het domein of het bedrijf aan de hand zijn. Dommeinnamen laten registreren door een service provider is een beetje begin jaren 2000-mentaliteit, dat moet je ook als bedrijf echt niet meer willen.

CAPSLOCK2000

Beveiliging en antivirus

29 februari 2024 13:17

Verwacht er niet te veel van. Deze test geeft geen concrete informatie. Het zijn ja/nee vragen zonder enige gevolg. Hierbij de volledige uitslag test waarbij ik alle opties heb aangezet (ik heb alleen wat boilerplate en herhalingen weggelaten, alle vragen en antwoorden zitten er in).

Overzicht resultaten NIS 2 Zelfevaluatie
Disclaimer

Disclaimer akkoord

Bepalen sectoren

Sector Bankwezen (bijlage I) is geselecteerd Voor informatie aangaande NIS 2 toepassing binnen uw sector kunt u terecht bij het verantwoordelijke ministerie: .Ministerie van Financiën
Sector Digitale infrastructuur (bijlage I) is geselecteerd Voor informatie aangaande NIS 2 toepassing binnen uw sector kunt u terecht bij het Digital Trust Center
Sector Digitale aanbieders (bijlage II) is geselecteerd Voor informatie aangaande NIS 2 toepassing binnen uw sector kunt u terecht bij het Digital Trust Center
Sector Drinkwater (bijlage I) is geselecteerd Voor informatie aangaande NIS 2 toepassing binnen uw sector kunt u terecht bij het verantwoordelijke ministerie: Ministerie Infrastructuur & Waterstaat
Sector Energie (bijlage I) is geselecteerd Voor informatie aangaande NIS 2 toepassing binnen uw sector kunt u terecht bij het Digital Trust Center
Sector Beheer van ICT-diensten (business-to-business, bijlage I) is geselecteerd Voor informatie aangaande NIS 2 toepassing binnen uw sector kunt u terecht bij het Digital Trust Center
Sector Infrastructuur voor de financiële markt (bijlage I) is geselecteerd) Voor informatie aangaande NIS 2 toepassing binnen uw sector kunt u terecht bij het verantwoordelijke ministerie: .Ministerie van Financiën
Sector Gezondheidszorg (bijlage I) is geselecteerd Voor informatie aangaande NIS 2 toepassing binnen uw sector kunt u terecht bij het verantwoordelijke ministerie: Ministerie van Volksgezondheid Welzijn en Sport
Sector Vervaardiging, productie en distributie van chemische stoffen (bijlage II) is geselecteerd Voor informatie aangaande NIS 2 toepassing binnen uw sector kunt u terecht bij het verantwoordelijke
ministerie: Ministerie Infrastructuur & Waterstaat
Sector Vervaardiging (bijlage II) is geselecteerd Voor informatie aangaande NIS 2 toepassing binnen uw sector kunt u terecht bij het Digital Trust Center
Sector Post- en koeriersdiensten (bijlage II) is geselecteerd Voor informatie aangaande NIS 2 toepassing binnen uw sector kunt u terecht bij het Digital Trust Center
Sector Productie, verwerking en distributie van levensmiddelen (bijlage II) is geselecteerd Voor informatie aangaande NIS 2 toepassing binnen uw sector kunt u terecht bij het verantwoordelijke
ministerie: Ministerie van Landbouw, Natuur en Voedselkwaliteit
Sector Overheid (bijlage I) is geselecteerd Voor informatie aangaande NIS 2 toepassing binnen uw sector kunt u terecht bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Voor meer informatie over overheidsinstanties zie Art 2 lid 5a en , onder “WatNIS2-richtlijn - Digitale Overheid
betekent de NIS2-richtlijn voor jouw organisatie?”
Sector Onderzoek (bijlage II) is geselecteerd Voor informatie aangaande NIS 2 toepassing binnen uw sector kunt u terecht bij het Digital Trust Center
Sector Ruimtevaart (bijlage I) is geselecteerd Voor informatie aangaande NIS 2 toepassing binnen uw sector kunt u terecht bij het Digital Trust Center
Sector Vervoer (bijlage I) is geselecteerd Voor informatie aangaande NIS 2 toepassing binnen uw sector kunt u terecht bij het verantwoordelijke ministerie: Ministerie Infrastructuur & Waterstaat
Sector Afvalstoffenbeheer (bijlage II) is geselecteerd Voor informatie aangaande NIS 2 toepassing binnen uw sector kunt u terecht bij het verantwoordelijke ministerie: Ministerie Infrastructuur & Waterstaat
Sector Afvalwater (bijlage I) is geselecteerd Voor informatie aangaande NIS 2 toepassing binnen uw sector kunt u terecht bij het verantwoordelijke ministerie: Ministerie Infrastructuur & Waterstaat
Sector Onderwijs is geselecteerd De NIS2-richtlijn geeft lidstaten de mogelijkheid om onderwijsinstellingen, met name wanneer zij kritieke onderzoeksactiviteiten verrichten, onder de richtlijn aan te wijzen. In Nederland is hierover nog geen besluit genomen. Voor informatie aangaande NIS 2 toepassing binnen uw sector kunt u terecht bij het verantwoordelijke ministerie: Ministerie van Onderwijs Cultuur en Wetenschap

Bepalen van subsectoren

Soort entiteit Kredietinstellingen is geselecteerd
Er is een soort entiteit Aanbieders van netwerken voor de levering van inhoud
geselecteerd
Er is een soort entiteit Communicatiediensten geselecteerd
Er is een soort entiteit Verleners van vertrouwensdiensten geselecteerd. Er is hierbij
sprake van een gekwalificeerde aanbieder van vertrouwensdiensten.
Er is een soort entiteit Verleners van vertrouwensdiensten geselecteerd. Er is hierbij
sprake van een niet-gekwalificeerde aanbieder van vertrouwensdiensten.
Er is een soort entiteit Register voor topleveldomeinnamen (TLD) geselecteerd
Er is een soort entiteit DNS-provider geselecteerd
Er is een soort entiteit Aanbieders van internetknooppunten geselecteerd
Er is een soort entiteit Aanbieders van cloudcomputingdiensten geselecteerd
Er is een soort entiteit Aanbieders van datacenterdiensten geselecteerd
Er is een soort entiteit Domeinnaamregistratiediensten geselecteerd
Er is een soort entiteit Digitale aanbieders geselecteerd
Er is een soort entiteit Drinkwater geselecteerd
Er is een soort entiteit Energie geselecteerd
Er is een soort entiteit Infrastructuur voor de financiële markt geselecteerd
Er is een soort entiteit Gezondheidszorg geselecteerd
Er is een soort entiteit Beheer van ICT-diensten (business-to-business) geselecteerd
Een soort entiteit van Vervaardiging is geselecteerd
Centrale overheid is geselecteerd
Regionale overheid is geselecteerd, dit is niet van toepassing voor Nederland.
Er is een soort entiteit voor Vervoer geselecteerd
Het soort entiteit Afvalwater is geselecteerd
Het soort entiteit Ruimtevaart is geselecteerd

Bepalen relevantie lidstaat Nederland

Uw organisatie betreft een overheidsinstantie die is opgericht door Nederland
De gekwalificeerde aanbieder van vertrouwensdiensten is gevestigd in Nederland. De
NIS 2-richtlijn is van toepassing op uw organisatie en wordt beschouwd als Essentiële
entiteit.

Dat is alles. Het is dus vooral een aanvinklijstje van onderwerpen waar je misschien wel iets mee moet. Prima om een overzicht te maken hoor maar verwacht hier geen wonderen van. Dit is op z'n beste de eerste stap.
Ik vrees dat bestuurlijk Nederland maanden nodig gaat hebben en het dan nog niet lukt om dit lijstje volledig in te vullen. Volgend jaar een artikel hoe organisaties klagen dat volledig overdonderd zijn door de onredelijke eisen van de overheid en dat ze het onmogelijk hadden kunnen zien aankomen. Net zoals de AVG jaren en jaren is uitgerekt en afgezwakt.

De NIS2-Quickscan is vooral bedoeld voor IT- en cybersecurityspecialisten en -verantwoordelijken binnen organisaties, zegt het Digital Trust Center. De tool schotelt hen veertig ja-neevragen voor, waarmee zij bewust worden gemaakt van de status van de digitale weerbaarheid in hun organisatie

Ik zie niet in hoe dit voor enige bewustwording gaat zorgen en al helemaal niet onder security specialisten.

PS. Ik weet dat NIS2 veel meer is dan alleen een quikscan. Ik klaag over de quickscan, niet over NIS2.

[Reactie gewijzigd door CAPSLOCK2000 op 23 juli 2024 13:07]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@CAPSLOCK2000 • 1 maart 2024 08:06

Het is dus vooral een aanvinklijstje van onderwerpen waar je misschien wel iets mee moet. Prima om een overzicht te maken hoor maar verwacht hier geen wonderen van. Dit is op z'n beste de eerste stap.

En dat is dan ook precies de bedoeling van de quickscan. Het stelt je in staat inzicht te krijgen in de gebieden waar je nog actie heb te ondernemen.

Voor de rest heb je zo te zien van alles aangevinkt uit meerdere sectoren aangevinkt en ontbreken in jouw overzicht alle inhoudelijke vragen. Ik krijg een heel andere scan te zien.

Het zijn ja/nee vragen zonder enige gevolg.

Dat zijn het niet zoals ook het artikel al aangeeft:

De tool schotelt hen veertig ja-neevragen voor, waarmee zij bewust worden gemaakt van de status van de digitale weerbaarheid in hun organisatie. Ook stelt de Quickscan per thema technische of organisatorische maatregelen voor, die kunnen bijdragen aan de digitale weerbaarheid van organisaties.

PjotterP 29 februari 2024 14:29

Was een kleine moeite geweest om even aan te geven waar de letters NIS voor staan

Frame164 @Terrestrial • 29 februari 2024 14:18

Het is een prima website voor de mensen die hier iets mee moeten doen. Je kunt per sector en per situatie (waar zit het hoofdkantoor etc) bepalen wat van toepassing is voor een speficieke organisatie.

Ze gaan niet voorschrijven hoe jij dingen moet doen. Het is niet bedoeld zodat een developer veilige code kan maken of die voorschrijft hoe een sysadmin moet patchen. Dat wil je ook niet, want dan is de wet na 2 weken al weer achterhaald.

Organisaties moeten zelf aan de slag om voor hun specifieke situatie beleid te gaan maken. Op basis van de wet die op basis van de richtlijn wordt gemaakt moet de CSO van een organisatie een securitybeleid opstellen waarmee alle stakeholders aan de gang gaan.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Terrestrial • 29 februari 2024 16:05

Mijn god wat een onzin die website, heb je beleid voor van alles en nog wat? Zo ja goed gedaan hoor, en doei.

Is dat wat ze verstaan onder strenge beveiligingseisen? Dit zijn weer typisch van die ambtenaren, die kunnen absoluut niks.

Wat een enorm kortzichtige reactie. Beleid definieert de spelregels en geeft richting. Ze zijn dan ook de eerste stap naar verbetering. Vanuit het beleid ga je verder naar procedures, richtlijnen en werkinstructies. Zonder beleid is het onduidelijk aan welke mate van veiligheid iets moet voldoen en welke technische en organisatorische maatregelen je kan treffen om op het gewenste niveau te komen.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Terrestrial • 29 februari 2024 23:46

Wederom kortzichtig en veel te kort door de bocht. Je hebt geen ervaring in dit vakgebied neem ik aan?

Dit is enkel maar overhead en onnodige administratie creëren, denk jij dat bedrijven hierop zitten te wachten?

Bedrijven die serieus met informatiebeveiliging bezig zijn hebben het meeste al op orde. Dit puur en alleen omdat ze serieus naar risico management kijken. Dat de gevraagde zaken niets qua beveiliging toevoegen is pure onzin. In de basis vraagt de NIS2 goede security hygiëne en een goed risico management proces.

Niemand wil onnozel beleid opstellen; beleid wat nodig en nuttig is heeft echter wel waarde.

Terrestrial @Bor • 1 maart 2024 01:58

Ik denk niet dat jij in de positie bent aannames te doen over mij.

Bedrijven zijn hier niet mee bezig, alleen de overheid, en die hebben alles op papier wellicht in orde en laten ondertussen de achterdeur wijd open staan. Zo gaat het altijd met die bureaucraten.

Risico management is een term waar je niks mee kan, alsof je alle risico's kan managen, dat gaat een beetje prijzig worden. Je mag al blij zijn als een management genoeg geld geeft om je werk fatsoenlijk te doen en verwachten ze wonderen van je. Weet je hoeveel IT-ers daar tegen aan lopen? . Security is en blijft altijd een overgeschoven kindje en daar gaat deze checklist met dure termpjes ons niet bij helpen.

En kleine bedrijfjes zullen al helemaal niet de resources hebben of vrijmaken om zich hier mee bezig te gaan houden. Bovendien lees de reacties, hoeveel mensen zijn hier werkelijk positief over.

Ik ben ook voor security maar laat dat aub over aan mensen die de techniek doen en niet van die pennenlikkers. Nogmaals extra poespas zit niemand op te wachten.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Terrestrial • 1 maart 2024 07:50

Ik ben ook voor security maar laat dat aub over aan mensen die de techniek doen en niet van die pennenlikkers.

De mensen van de techniek hebben richting nodig. Zonder goed beleid weet je niet hoe je wat moet beschermen. Veel te vaak wordt beveiliging als een puur technisch probleem gezien maar dat is het helemaal niet. Door beveiliging alleen over te laten aan de mensen die de techniek doen weet je vrijwel zeker dat je niet enkel goede dingen doet en mis je een heel belangrijk deel van beveiliging; de menselijke factor. Je zit er zo te zien erg negatief in met opmerkingen al "pennelikkers". Dat is toch nergens voor nodig?

Op dit item kan niet meer gereageerd worden.

Rijksoverheid brengt NIS2-Quickscan uit ter voorbereiding op NIS2-richtlijn

Lees meer

Reacties (48)

Sorteer op:

Weergave: