Artikel 21 van de NIS2 noemt tien zorgplichtmaatregelen. Risicoanalyse, incident response, business continuity, supply chain, cyberhygiëne, awareness training, cryptografie, toegangsbeheer en multi-factor authenticatie. Op papier een complete lijst. In de praktijk de vraag hoe u dit invult zonder elke maatregel als eigen project op te tuigen.
Wat de uitdaging echt is
De tien maatregelen kunnen op honderd manieren worden ingevuld. Een enterprise organisatie pakt elke maatregel als eigen werkstroom met eigen eigenaar. Een organisatie van honderd man kan dat niet dragen. Een goede invulling kiest welke maatregelen verzwaard worden (omdat het risico daar zit) en welke pragmatisch worden afgedekt. Dat besluit hoort bij uw bestuur, niet bij een consultant.
Wat wij voor u doen
Een NIS2 specialist neemt artikel 21 door uw bestaande IT en governance heen. Veel maatregelen liggen al bij uw cloud leverancier, uw managed services partij of in bestaand beleid. Die documenteren we als bewijslast. De resterende gaps krijgen prioriteit op basis van risico en haalbaarheid. Aan het eind heeft u een dossier dat de tien maatregelen dekt zonder uw organisatie op te tuigen tot iets dat ze niet kunnen onderhouden.
Doorlooptijd
Voor een mid market organisatie zes tot twaalf maanden. Voor enterprise met meerdere business units twaalf tot achttien maanden. Korter is alleen mogelijk als veel maatregelen al stevig staan vanuit ISO 27001 of een vergelijkbaar bestaand framework.
Plan een eerste gesprek via het formulier hieronder. Verwant: meldplicht en incident response inrichten.
Verwant: NIS2 consultant, NIS2 voor transport en logistiek.