3 april 2024

Cyberweerbaarheid

Cybersecurity

Cybersecuritywetgeving

Technologie

Wat is BIO en wat is NIS2?

BIOv1.04 ging in 2019 van kracht, geïnitieerd door de Nederlandse overheid, en is kort gezegd een set aan maatregels op gebied van informatiebeveiliging waaraan gemeenten moeten voldoen ongeacht de mate van risico. Eind 2024 wordt de BIO 2.0 verwacht met een risicogebaseerde aanpak en een lijst van geupdate maatregelen. De maatregelen worden geactualiseerd op basis van de ‘nieuwe’ ISO 27002:2022. 

NIS ging van start in 2016 en is kort gezegd een Europese richtlijn, omgezet naar Nederlandse wetgeving die stuurt op het managen van risico’s die netwerk- en informatiesystemen bedreigen voor essentiële sectoren. Eind 2024 wordt de NIS2 omgezet naar Nederlandse wetgeving waarin risico’s geactualiseerd zijn en de sectoren uitgebreid. De eisen ten aanzien van de zorgplicht uit de NIS2 komen grotendeels terug in ISO 27001 en ISO 27002 op basis van een Plan/Do/Check/Act cyclus voor risicobeheer. 

De zeven verschillen tussen NIS2 en BIO.

In onderstaande tabel staan de zeven verschillen tussen NIS2 en BIO. De verschillen waar wij van verwachten dat die tot de grootste uitdagingen leiden bij gemeenten, staan in het rood.

De twee grootste uitdagingen 

1)  Risico gebaseerd werken. NIS2 is risico gebaseerd en gemeenten moeten een risicoanalyse uitvoeren om te bepalen welke maatregelen ze moeten nemen. Wie bepaalt echter wat de risico’s zijn, hoe groot die zijn en welke maatregelen passen. Hier zal een mechanisme voor moeten worden opgezet. Ons advies is om hier klein mee te beginnen. Risico gebaseerd werken moet groeien, het is een dynamisch proces. 

2)  Managen van de toeleveringsketen. NIS2 vereist dat ook leveranciers moeten voldoen aan de NIS2 regelgeving. Gemeenten hebben veel en zeer diverse leveranciers. Hier zal een aanvulling op het huidige leveranciersmanagement voor nodig zijn.     

Ons advies hierbij is om vijf stappen te nemen:
a)  Breng in kaart welke leveranciers er zijn en hoe belangrijk deze zijn voor het cyberrisico en de cyberweerbaarheid. Een inventarisatie van leveranciers, zoals bijvoorbeeld het inventariseren van verwerkers van persoonsgegevens onder de AVG, kan hierbij helpen. Deze inventarisatie werd voor AVG gebruikt voor privacy risico’s waarbij we nu kijken naar cybersecurity risico’s.  
b)  Plot de leveranciers op een matrix om deze te classificeren naar belang voor cyberrisico en -weerbaarheid. Bijvoorbeeld aan de hand van de methodiek van het Kraljic model voor inkoop.

c)  Maak subsets met gewenste/benodigde maatregelen voor de (vier) risicoprofielen uit voorgaande matrix. 
d)  Plot de leveranciers in onderstaande model, waarbij de toepassing van de subsets wordt afgezet tegen de volwassenheid van cybersecurity.
 
e)  Bepaal hoe je wil omgaan met leveranciers die nog niet voldoen aan de subsets of volwassenheid van maatregelen. Biedt je hulp, ga je zelf extra maatregelen nemen of neem je wellicht afscheid. 

Begin nu, cyberveiligheid doe je niet voor de toezichthouder maar voor jezelf. 

De NIS 2 brengt nieuwe uitdagingen met zich mee voor organisaties, maar biedt ook mogelijkheden om de cyberweerbaarheid te verbeteren. Het is daarom belangrijk om nu al te beginnen met het aanpakken van deze uitdagingen en niet te wachten tot de NIS 2 in de Nederlandse wet is vertaald. Cyberveiligheid doe je tenslotte niet voor de toezichthouder maar voor je zelf. 

Over de auteurs

Gerelateerd nieuws

Bescherm uw online content tegen web scraping door AI aanbieders

Wereldwijd lopen er momenteel rechtszaken tegen aanbieders en ontwikkelaars van (veelal general purpose) AI-tools die hun systemen hebben getraind met grote hoeveelheden data waarop auteursrechten of databankrechten van derden rusten.

Data & Privacy

De kracht van de beleidscyclus: Zo krijgt de overheid grip op ruimtelijke opgaven

Werken met de Omgevingswet is al bijna gewoon! De invoering van de wet is soepel verlopen. Toch blijft de vraag: wat is het juiste middel onder de Omgevingswet om gebiedsontwikkelingsprocessen echt in beweging te krijgen?

Omgeving

Deltaprogramma 2025: we moeten anders omgaan met te veel en te weinig water

Op Prinsjesdag, heeft minister Madlener van Infrastructuur en Waterstaat namens het kabinet het Deltaprogramma 2025 aangeboden aan de Eerste en Tweede Kamer. Uit dit Deltaprogramma blijkt dat klimaatverandering tot steeds meer knelpunten leidt in ons land. De hoofdboodschap is: we moeten anders omgaan met te veel en te weinig water. De oplossingen hiervoor moeten we ook zoeken in hoe we de ruimte gebruiken en inrichten. Dat moet meer aansluiten bij wat het water- en bodemsysteem aankan.

“Dit kan en moet minder” in jeugdzorg niet geloofwaardig

In het regeerprogramma van het kabinet Schoof staan een aantal behartigenswaardige zaken opgetekend over de jeugdzorg. Zo staat er dat nu één op de zeven jongeren een beroep op jeugdzorg doet, waar dit in 2000 nog één op de 27 was. Volgens hetzelfde programma “kan en moet dat minder, want dit is (ook financieel en qua arbeidsmarkt) niet houdbaar”. Om dit beroep te verminderen is het nodig dat er een wet over de inperking van de toegang tot de jeugdzorg in het Staatsblad komt. Het kabinet geeft aan dit te gaan opstellen. Maar hoe geloofwaardig is dit als het Rijk en de VNG dit al in 2021 hebben afgesproken? Het woord wetsvoorstel staat maar liefst 91 keer in het regeerprogramma. Opvallend is dat in tegenstelling tot de meeste wetsvoorstellen er voor deze geen tijdspad is opgenomen. Recent zien we de financiële tekorten in de jeugdzorg verder oplopen. Daarom moet er gekozen worden voor inperking én een inkomensafhankelijke ouderbijdrage.

Zorg & Sociaal

Meer nieuws