In het Belgisch Staatsblad van 3 mei 2019, werd de “Wet tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid” gepubliceerd. 

Europa beoogt hiermee een hoog en gemeenschappelijk beveiligingsniveau van netwerk- en informatiesystemen voor de genoemde dienstverleners omdat ze zo belangrijk zijn voor de veiligheid en de economie van een land. 

Waarom kan NIS belangrijk zijn voor uw organisatie? 

1.  Allereerst kan uw organisatie zelf aanbieder van essentiële diensten zijn. Het betreft immers de sectoren zoals:

• nutsbedrijven in het algemeen (energie, vervoer, gas, levering en distributie van drinkwater),
• bankwezen (weliswaar met heel wat uitzonderingen),
• infrastructuur- en dienstenverleners voor de financiële markt, gezondheidszorg (ziekenhuizen) en digitale dienstverleners.

3. Ook is het mogelijk dat uw organisatie interacties heeft met aanbieder(s) van essentiële diensten.  In vele gevallen zullen zulke organisatie eenzelfde veiligheidsniveau van haar partners en leveranciers eisen.
4. Verder is het mogelijk dat uw organisatie om andere business redenen, al dan niet uit eigen beweging wenst te voldoen aan de principes van EU-NIS.

Business Continuity Management als ankerpunt?

De NIS stelt dat lidstaten ervoor moeten zorgen dat aanbieders van essentiële diensten passende maatregelen nemen om de gevolgen van beveiligingsincidenten, die gebruikte netwerk- en informatie­systemen aantasten, te voorkomen. Dit allemaal om de continuïteit van deze diensten te waarborgen.

Het uiteindelijke doel van deze richtlijn is dus het voorkomen of beperken van incidenten. Dit moet ervoor zorgen dat de continuïteit van de dienstverlener verzekerd is.

Continuïteitsbeheer (Business Continuity) wordt 14 maal expliciet behandeld en is daarmee dus een onmiskenbaar element geworden in wat (vanaf nu) wettelijk aanzien wordt als “goede beveiliging”.

Risk-Management als noodzaak?

Niet enkel de continuïteit van een bedrijf wordt besproken maar ook de risico’s waarmee het geconfronteerd kan worden. Het “pallet” aan risico’s is breed en niet-limitatief waarbij cyberrisico’s, fysieke risico’s, etc in kaart moeten gebracht worden.

De AED’s worden verplicht om risico’s te detecteren, te beheren en te behandelen volgens welbepaalde processen en procedures en dit ifv Business Continuity Management. 

Hoe past gegevensbescherming in het NIS-verhaal?

De EU-GDPR (AVG) stelt duidelijk dat eender welk incident (van technische of niet-technische aard) mogelijk een inbreuk kan inhouden als ze een risico voor de betrokkenen kunnen vormen (bv het verliezen van of de onbeschikbaarheid van persoonsgegevens).   

De incidenten of gebeurtenissen die aanleiding geven tot een GDPR-inbreuk kunnen ook een NIS-inbreuk veroorzaken. 

Welke oplossing?

RealBCP is een omvattende business continuity tool (& methode), wanneer u deze toepast zal u rechtstreeks bijdragen tot NIS-naleving alsook EU-GDPR-naleving.

Wij voorzien naast de talloze voordelen van RealBCP eveneens in:

• 5 methodische raakpunten tussen EU-GDPR en Business Continuity;
• Voldoening t.a.v. de ISO22301 verplichte documenten;
• Voldoening t.a.v. de ISO27001 verplichtingen inzake continuïteit van informatierisicobeheer;
• Volledige “mapping” van ISO27001/ISO22301/EU-GDPR/EU-NIS, wat uw bijdrages meteen en op eenvoudige wijze duidelijk maken.

Kortom, wanneer u RealBCP gebruikt, draagt u effectief bij tot de NIS-naleving (“compliance”) van uw organisatie.