Hallo @Rianne van de Ven,

Als ik het goed begrijp vallen sommige organisaties hieronder; “De richtlijn spitst zich nog steeds toe op “aanbieders van essentiële diensten”, maar méér sectoren en soorten dienstverlening worden als zodanig aangemerkt t.o.v. NIS 1. Welke dat exact zijn, wordt nog definitief gemaakt, maar dit betreffen voornamelijk…..”. Deze website geeft meer info: https://www.nieuwhuisconsult.nl/nieuws/nis-2-richtlijn-voor-cybersecurity-wat-betekent-dit-voor-jouw-organisatie

En als jouw organisatie straks onder de NIS 2 richtlijn valt, dan dien je een adequate aanpak voor informatiebeveiliging / cybersecurity te hebben, inclusief passende beveiligingsmaatregelen. Standaarden zoals ISO 27001 en NEN 7510 geven hier een goede en gestructureerde invulling aan.
 

Hallo Rianne,

Wellicht is deze mapping op ISO27002 beheersmaatregelen een mooie om mee te nemen in je beoordeling. 

Mapping NIS2-maatregelen en NEN-EN-ISO/IEC 27002/BIO - Digitale Overheid

Heel veel succes.

Hallo @Rianne van de Ven,

Is het een idee om bijv. aan de hand van de norm eerst de controls te vertalen die zeggen wat je moet doen. Daarna kun je bekijken hoe en hoe vaak je deze wilt toetsen op effectiviteit. Daarna zou je kunnen kijken of deze controls passen bij een (bestaande of nieuw) risico dat jullie als organisatie kennen. 

Het is namelijk zo dat niet alles een risico voor jouw als organisatie is, dat bepaal je zelf. Mbt de NEN 7510 wordt daarom ook, na de import van de content, aangegeven dat je de geimporteerde risico's nog wel dient te checken; zijn dit risico's waar je je in herkent, gelden ze voor jou? Zijn er meer risico's die je kent? 

Ik ben overigens ook wel benieuwd hoe anderen hier tegenaan kijken.