logo-img
  • In trainingen zoeken...
  • Geen directe match gevonden.
    Laat AI naar een passend alternatief zoeken via Enter of de zoekknop.
We zoeken de beste cursussen voor je…
Alle trainingen
Alle trainingen
  • In trainingen zoeken...
  • Geen directe match gevonden.
    Laat AI naar een passend alternatief zoeken via Enter of de zoekknop.
We zoeken de beste cursussen voor je…
NL / EN

NIS2 Directive - Eisen en Trainingen

Met de goedkeuring van de NIS2 richtlijn is een belangrijke Europese stap gezet op het gebied van een meer uniforme cybersecurity. Het doel van deze nog naar Nederlandse wetgeving te vertalen richtlijn, is om een hoger niveau van gemeenschappelijke beveiliging van netwerk- en informatiesystemen in de hele EU te waarborgen en zo de weerbaarheid tegen cyberdreigingen te vergroten.

Momenteel werken we in Nederland nog met de Wet beveiliging netwerk- en informatiesystemen (Wbni). Zodra het Nederlandse wetsvoorstel is goedgekeurd, vervalt de Wbni en geldt voor een breed scala aan organisaties de nieuwe regels van de NIS2.

Houd er rekening mee dat jouw organisatie eerder wellicht niet onder de Wbni viel, maar wel onder de nieuwe Cyberbeveiligingswet (Cbw). In dat geval is er waarschijnlijk best veel werk aan de winkel. Maar ook als je wel al onder de Wbni valt, verandert er veel.

Op deze pagina krijg je een globaal beeld van de eisen van de NIS2 en welke trainingen je kunnen helpen zo snel mogelijk compliant te zijn.

Valt mijn organisatie onder de NIS2-richtlijn of niet?

Een 100% sluitend antwoord hierop is pas te geven zodra de Nederlandse wet is goedgekeurd. In de tussentijd geeft de NIS2 (met name in bijlage I en II) zelf wel al enige duidelijkheid. Ook als toeleverancier van een ‘NIS2 organisatie’ is de impact groot, zelfs al val je zelf niet direct onder de noemer ‘essentiële’ of ‘belangrijke’ entiteit.

De Rijksoverheid heeft een tool ontwikkeld waarmee je een zelf-evaluatie kunt doen, je vindt deze hier: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/

Bestuurlijke aansprakelijkheid

Een belangrijke verandering met consequenties is de bestuurlijke aansprakelijkheid in de NIS2. Doel hiervan is ervoor te zorgen dat cybersecurity prioriteit krijgt op het hoogste niveau van organisaties die onder de NIS2-richtlijn vallen.

Leidinggevenden van organisaties worden persoonlijk verantwoordelijk gehouden voor de naleving van de cybersecurityvereisten die de richtlijn stelt. Dit betekent dat bedrijfsleiders, zoals CEO's en bestuursleden, proactief betrokken moeten zijn bij de implementatie en het handhaven van adequate cybersecuritymaatregelen binnen hun organisatie.

Om hieraan te voldoen is één van de eisen van NIS2 dat deze leidinggevenden verplicht trainingen volgen om (zoals NIS2 letterlijk aangeeft):

“Voldoende kennis en vaardigheden te verwerven om risico’s te kunnen identificeren en risicobeheerspraktijken op het gebied van cyberbeveiliging en de gevolgen ervan voor de diensten die door de entiteit worden verleend, te kunnen beoordelen.

TSTC heeft diverse oplossingen die je helpen aan deze eis te voldoen. Vaak is maatwerk in een training/workshop op locatie gewenst, waarin bijvoorbeeld een compleet managementteam wordt bijgepraat over informatiebeveiliging, specifieke risico’s, maatregelen en de omgang met incidenten. Neem gerust contact met ons op om de mogelijkheden te bespreken.

Cbw/NIS2 Governance voor Bestuurders

Een voorbeeld van een dergelijke incompany training is de training Cbw/NIS2 Governance voor Bestuurders die in een dagdeel op locatie of online kan worden verzorgd. Met deze training sluit je in de basis aan op de genoemde NIS2-eis dat ieder lid van het bestuur van organisaties die onder de richtlijn vallen, een gerichte opleiding over cyberbeveiliging dient te volgen.

Managing NIS2 - CNIS2

Via ons open rooster volg je ook de 2-daagse training Managing NIS2 - Certified NIS2 Professional (CNIS2), waarin je uitgebreid kennismaakt met de NIS2 en alle bijbehorende eisen. Deze training wordt afgesloten met een begeleide GAP-analyse waarin je inzichtelijk krijgt waar nog actie ondernomen moet worden.

NIS2 Lead Implementer

Ditzelfde geldt ook voor de uitgebreidere 5-daagse NIS2 Lead Implementer training die minder geschikt is voor bestuurders, maar security managers en -professionals helpt bij de daadwerkelijke implementatie van de gestelde eisen.

Verplichtingen

De NIS2-richtlijn schrijft vier verplichtingen voor:

  • Registratieplicht

  • Zorgplicht

  • Meldplicht

  • Toezicht

Met name de Zorgplicht en Meldplicht bevatten eisen waarbij onze trainingen je kunnen helpen.

Zorgplicht

Essentiële en belangrijke entiteiten moeten maatregelen nemen om hun netwerk- en informatiesystemen tegen incidenten te beschermen. Hetzelfde geldt voor de fysieke omgeving waarin de systemen zich bevinden. Hieronder volgen een aantal maatregelen en bijpassende trainingen:

1. Een risicoanalyse en beveiliging van informatiesystemen

> ISO 27005 Certified Risk Manager 
> ISO 27001 Lead Implementer 
> Certified BIO Professional - Foundation 
> Certified BIO Professional - Practitioner ​​​
> CRISC - Certified in Risk and Information System Control 

2. (Beleid en procedures over) incidentenbehandeling

> ECIH - Certified Incident Handler 
> CSA - Certified SOC Analyst 
> CISM - Certified Information Security Manager 
> CCISO - Certified Chief Information Security Officer 

3. Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen

> EDRP inclusief ISO 22301 
> CCISO - Certified Chief Information Security Officer 

4. Beveiliging van de toeleveranciersketen

> CSSLP - Certified Secure Software Lifecycle Professiona
> CCSP - Certified Cloud Security Professional 
> CCISO - Certified Chief Information Security Officer 

5. Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden

> Security+ 
> CISSP 
> ECIH - Certified Incident Handler 
> CND - Certified Network Defender 

6. Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen

> CISM - Certified Information Security Manager

> CCISO - Certified Chief Information Security Officer

> Lead Cybersecurity Manager

7. Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging

> Cyber & IT Security Foundation

> Certified Ethical Hacker (CEH)

> CCISO - Certified Chief Information Security Officer

> Awareness oplossingen

8. Beleid en procedures over het gebruik van cryptografie en encryptie

> ECES - Certified Encryption Specialist

9. Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van activa

> CCISO - Certified Chief Information Security Officer

10. Het gebruik van multifactor-authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.

> CND - Certified Network Defender

Meldplicht

  

De NIS2-richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. Hier vloeien een aantal verantwoordelijkheden uit voort die te maken hebben met incident management/handling en monitoring processen:

1. Monitoring - worden incidenten gedetecteerd?

> CSA - Certified SOC Analyst 

> CySA+ - CompTIA CyberSecurity Analyst 

2. Incident Management / Handling - ligt er een plan klaar hoe te handelen bij incidenten?

> ECIH - Certified Incident Handler 

3. Threat Intelligence - op de hoogte zijn van nieuwe bedreigingen, weten waarop alert te zijn

CTIA - Certified Threat Intelligence Analyst 

4. Pentesting - Incidenten voorkomen

> CEH - Certified Ethical Hacker 
> OSCP - OffSec Certified Professional 
CPENT - Certified Penetration Testing Professional  
(Web)Application Security Assessment (WASA) - based on OWASP Testing Guide 

Generieke trainingen

We adviseren je in alle gevallen te starten met één van de eerder benoemde, specifieke NIS2 trainingen. Aangezien er vaak meerdere rollen met de richtlijn te maken krijgen, kan het prettig zijn om een training samen met collega’s te volgen zodat de neuzen naderhand dezelfde kant op staan.

Een andere strategie kan zijn om medewerkers afhankelijk van hun rol verschillende trainingen te laten volgen, zodat de juiste kennis op de juiste plekken terecht komt.

Cbw/NIS2 Governance voor Bestuurders (incompany) 
> CNIS2 - Certified NIS2 Professional / Managing NIS2 
> NIS2 Lead Implementer 

Registratieplicht

De registratieplicht geldt voor organisaties in kritieke sectoren om inzicht te krijgen in de digitale weerbaarheid en om onder toezicht te komen.

Organisaties die onder de Cyberbeveiligingswet vallen, zijn verplicht gegevens te registreren in het entiteitenregister. In Nederland gebeurt dat bij het Nationaal Cyber Security Centrum (NCSC) op mijn.ncsc.nl. Na registratie krijgen Cbw-organisaties toegang tot de dienstverlening van het betreffende sectorale CSIRT.

Doordat alle lidstaten van de Europese Unie over zo’n register moeten beschikken, levert dit ook een Europees beeld van het aantal entiteiten onder de NIS2-richtlijn op.

Toezicht

NIS2-toezicht in Nederland wordt via de nieuwe Cyberbeveiligingswet aangescherpt en aanzienlijk uitgebreid. Essentiële entiteiten krijgen proactief toezicht, terwijl belangrijke entiteiten reactief (bij incidenten) worden gecontroleerd. Toezichthouders controleren op zorgplicht, meldplicht (binnen 24 uur) en registratieplicht