Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Awards
    • Computable Awards
    • Nieuws
    • Winnaars
    • Partner worden
    • Inzendingen
    • De jury en experts
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Magazine
    • Magazine
    • Adverteren in het magazine
  • Nieuwsbrief

NIS2, Dora en 50 tinten compliance

12 juni 2023 - 09:335 minuten leestijdOpinieCloud & Infrastructuur
Wytze Rijkmans
Wytze Rijkmans

Europese regelgeving interpreteren is een taaie klus. Dat geldt ook voor de regels van Dora en NIS2. Deze nieuwe regelingen moeten worden vertaald naar concrete maatregelen die it- en securityteams moeten nemen. Net zoals elk bedrijf zijn eigen invulling geeft aan GDPR, dreigen ook NIS2 en Dora vele varianten te kennen in hun toepassing. Toch zijn er een aantal zaken die zeker moeten gebeuren.

Dora, NIS2, GDPR… De Europese regelgevers zijn al even verslingerd aan vierletterwoorden als de it-sector zelf. Dora staat voor Digital Operational Resilience Act en wil de cybersecurity en digitale weerbaarheid van financiële dienstverleners verhogen. NIS2 is een uitbreiding van de Network and Information Systems directive die sinds 2016 van kracht is. Deze maatregel kijkt naar alle kritieke infrastructuur. Naast de financiële sector zijn dat straks ook sectoren als transport, energievoorziening, gezondheidszorg en publieke dienstverlening. Bij NIS2 gaat het dus om meer sectoren en meer bedrijven.

Ook boetes

Uiteraard heeft geen enkele organisatie gewacht op Dora en NIS2 om een aantal beschermingsmaatregelen te nemen. De nieuwe regelgeving komt echter met nieuwe verplichtingen,  verantwoordelijkheden en ook boetes. Vergeet ook niet dat de Corporate Goverance Code bestuurders van bedrijven kan bestraffen voor het niet naleven van security-regels. Het komt er dus op aan de regels goed toe te passen, al is de vertaalslag van juridische teksten naar it- en securitytaken niet altijd makkelijk. Toch zijn er vijf belangrijke stappen die je kan nemen.

  • Leg rollen, verantwoordelijkheden en prioriteiten vast

NIS2 en Dora zijn, net als GDPR, niet alleen een it- of security-aangelegenheid; alle afdelingen  binnen een organisatie zijn erbij betrokken. Een team samenstellen is dus een eerste stap, de taken en verantwoordelijkheden binnen dat team vastleggen een tweede. Vervolgens moet de organisatie inzicht krijgen in de huidige stand van zaken. Pas dan wordt duidelijk wat er als gevolg van de komst van Dora en NIS2 moet verbeteren. Op die manier zijn ook de prioriteiten te bepalen die leiden naar compliance. Het draaiboek dat hier het gevolg van is, moet een holistisch beeld geven van alle onderdelen die onder de nieuwe wetgeving vallen.

  • Zorg voor zicht op hele infrastructuur

Veel bedrijven voerden de investeringen in cybersecurity de laatste jaren al op. Dat gebeurde niet alleen omwille van de regelgeving, maar simpelweg omdat het aantal aanvallen toeneemt. Toch zijn er maar weinig organisaties die een totaaloverzicht hebben over alle apparatuur die toegang heeft tot hun netwerken. De tools die ze gebruiken, zitten vaak verspreid over it- en securityteams. Veel van deze tools kunnen bovendien geen informatie met elkaar uitwisselen, waardoor het lastig is een uniform zicht te hebben over het hele it-landschap. Bovendien zijn de tools niet altijd geschikt om te verifiëren of alle geplande software-updates en -upgrades ook daadwerkelijk uitgevoerd en geslaagd zijn. Daar ligt een belangrijke taak bij het naleven van NIS2 en Dora.

  • Verbeter en automatiseer het risicobeheer

Het is natuurlijk niet genoeg om te weten welke endpoints eventueel een ‘patch-dinsdag’ gemist hebben, of helemaal niet beheerd worden. Je moet er ook voor waken dat het voortaan wél gebeurt, en dan nog liefst geautomatiseerd ook. Rol patches dus centraal uit, controleer of dat gebeurd is, en remedieer meteen indien een update of upgrade niet is geslaagd.

  • Denk aan hele supply chain

Organisaties maken tegenwoordig deel uit van een ecosysteem waarbinnen data uitgewisseld worden en toepassingen via api’s met elkaar verbonden zijn. Dat zorgt voor een acceleratie van de samenwerking tussen bedrijven, maar ook voor een exponentiële groei van mogelijke kwetsbaarheden. Je kan dan wel zelf alles goed geregeld hebben, als een belangrijke partner zijn zaakjes niet op orde heeft, ben je zelf ook kwetsbaar. Een keten is zo sterk als de zwakste schakel. Ga dus na of je toeleveranciers, dus ook eventuele it-outsourcingpartners, ook de nodige voorzorgen nemen. Bedenk dat het hier niet alleen gaat over technische kwetsbaarheden en alle schade die hierdoor kan ontstaan. In veel gevallen is onze eigen organisatie én ons eigen management ook nog eens juridisch aansprakelijk voor eventuele kwetsbaarheden bij supply chain-partners.

  • Stroomlijn incident response

Hoe goed je ook beschermd bent, er kan nog steeds een incident plaatsvinden. Daarom is het belangrijk te weten hoe te reageren op een incident: welke maatregelen moeten we meteen nemen? Welke instanties moeten gewaarschuwd worden bij een datalek? Maak ook hier een draaiboek voor dat aangeeft wie voor wat verantwoordelijk is in elk denkbaar scenario. Een incident is slecht nieuws, maar meteen ook een kans om mogelijke pijnpunten weg te werken.

Geen last maar kans

NIS2, Dora en andere regelgevingen worden te vaak gezien als een extra last. Niemand zit te wachten op nog meer regels, nog meer rapportageverplichtingen, nog meer controle. Daar staat tegenover dat deze nieuwe regels ook een prima gelegenheid zijn om een stap terug te doen en een holistische blik te werpen op onze volledige it-omgeving.

Als alle organisaties hun veiligheidsbeleid op orde hebben, kunnen we ook veel incidenten voorkomen. En daar wordt iedereen beter van. Maak dus van de nood een deugd. NIS2 en Dora zijn in dat opzicht juist een kans.

Meer over

CompliancePatch managementRisk management

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Videobeveiliging naar de cloud

    Ontwikkelingen in videobeveiliging en cloud-gebaseerde securityplatformen

    Computable.nl

    Route naar digitale autonomie en soevereiniteit

    Van A(merikaans) naar Beter. Complexiteit zit niet in de nieuwe locatie, maar de weg er naar toe.

    Computable.nl

    Comeback? Private Cloud heroverwogen.

    Waarom regie, security en controle opnieuw centraal staan

    Eén reactie op “NIS2, Dora en 50 tinten compliance”

    1. Henri Koppen schreef:
      10 juli 2023 om 13:20

      Grappig , ik heb ook mijn stuk voor NIS2 ingestuurd met als boodschap dat het iets positiefs is. Ja, je moet als bedrijf gewoon zorgen dat je risico’s beheerd, dat zou je ook zonder regelgeving moeten willen want incidenten zijn erg kostbaar.

      Maar een extra toevoeging daarin is dat als je onder de regelgeving valt, je ook toegang krijgt tot hulplijnen zoals DTC, NCSC en CSIRT om maar wat afkortingen erin te gooien.

      Dora stond nog niet op mijn netvlies… dat gaat me weer een paar avonden kosten.. bedankt! 🙂

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Awards-nominaties

    Pijl naar rechts icoon

    Check Point

    Nadia van Beelen (Sales Associate, Check Point Technologies)
    Pijl naar rechts icoon

    ForceFusion

    Amber Quist (Cyber security specialist, ForceFusion)
    Pijl naar rechts icoon

    Hyperfox

    Vereenvoudiging bestelproces bij Duplast, specialist in voedselverpakkingen (Duplast en Hyperfox)
    Pijl naar rechts icoon

    Prodek Solutions BV

    Compleet pakket voor digitale aansturing duurzame energie bij Odura (Odura en Prodek Solutions)
    Pijl naar rechts icoon

    Norday

    Hyper-gepersonaliseerde cultuurpodcasts die nieuwe bezoekers vaker laten terugkomen via Wondercast (Norday en het Rotterdams Philharmonisch Orkest)
    Alle inzendingen
    Pijl naar rechts icoon

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    Software & Development

    Businessanalyse als fundament voor duu...

    Een effectief traject begint bij het expliciet maken van businesswaarde. Die businesswaarde bestaat uit meer dan alleen functionele wensen. Het vraagt inzicht in de essentiële data, afhankelijkheden binnen processen en...

    Meer persberichten

    Meer lezen

    Wet- en regelgeving wetgeving
    Governance & Privacy

    Hoera, NIS2 komt eraan!

    ...

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Computable Awards
    • Magazine
    • Ontvang Computable e-Magazine
    • Cybersec e-Magazine
    • Topics
    • Phishing
    • Ransomware
    • NEN 7510

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten
    • Blogwire

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2026 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs