NL 
EN 
DE Steeds meer organisaties krijgen te maken met strengere eisen rondom informatiebeveiliging. Dat komt door de NIS2-richtlijn: Europese wetgeving die inmiddels ook in Nederland is omgezet naar nationale wetgeving. Maar hoe toon je als organisatie aan dat je voldoet aan de eisen? En hoe weet je of je leveranciers dat doen? Het NIS2 Kwaliteitsmerk biedt hiervoor een oplossing. In dit artikel leest u wat dit kwaliteitsmerk precies inhoudt, voor wie het relevant is en welke rol DigiTrust hierin speelt als onafhankelijke certificerende instelling.
Wat is de NIS2-richtlijn?
De NIS2-richtlijn (Netwerk- en Informatiebeveiliging 2) is een Europese richtlijn die bedoeld is om de digitale weerbaarheid in de EU te versterken. Organisaties die onder deze richtlijn vallen, moeten aantoonbaar maatregelen nemen op het gebied van informatiebeveiliging en risicobeheersing. Denk aan sectorspecifieke bedrijven in bijvoorbeeld de zorg, energie, transport, digitale infrastructuur en overheid.
De richtlijn is in januari 2023 in werking getreden en is sinds oktober 2024 omgezet naar Nederlandse wetgeving via een aanpassing van de Wet beveiliging netwerk- en informatiesystemen (Wbni). De NIS2-richtlijn brengt onder andere verplichtingen mee op het gebied van:
- risicobeheersmaatregelen;
- incidentmelding binnen 24 uur;
- ketenverantwoordelijkheid;
- en verscherpt toezicht.
Hoe werkt het NIS2 Kwaliteitsmerk in de praktijk?
Het NIS2 Kwaliteitsmerk is een objectieve beoordeling die aantoont dat een organisatie aantoonbaar werkt aan digitale weerbaarheid conform de doelstellingen van de NIS2-richtlijn. Het is geen wettelijk verplicht keurmerk, maar het wordt in toenemende mate gevraagd door ketenpartners, opdrachtgevers of toezichthouders die zekerheid willen over de beveiligingsmaatregelen van hun leveranciers.
Met het kwaliteitsmerk kunnen organisaties laten zien dat zij informatiebeveiliging serieus nemen en passende maatregelen treffen. Dit geldt niet alleen voor organisaties die direct onder de NIS2 vallen, maar ook voor partijen in hun toeleveringsketen.
Wat wordt er beoordeeld?
De beoordeling voor het NIS2 Kwaliteitsmerk gebeurt op basis van bestaande normen en kaders, zoals ISO/IEC 27001, NEN 7510 of ENSIA. Daarbij ligt de focus op onderdelen die aansluiten bij de eisen uit de NIS2-richtlijn, zoals:
- risicobeoordeling en -beheersing;
- beveiligingsbeleid en bewustwording;
- leveranciersbeheer;
- incidentrespons en herstel;
- continue verbetering van beveiligingsmaatregelen.
Het kwaliteitsmerk wordt toegekend na een onafhankelijke toetsing door een certificerende instelling. De beoordeling wordt afgestemd op de aard van de organisatie, de sector waarin zij actief is en het risicoprofiel.
Wat is de rol van DigiTrust?
DigiTrust is een onafhankelijke certificerende instelling die organisaties toetst op naleving van normen en kwaliteitscriteria. Ook bij het NIS2 Kwaliteitsmerk voert DigiTrust de beoordeling uit op een objectieve, transparante en herleidbare manier.
Belangrijk om te weten: DigiTrust geeft geen advies over de implementatie van maatregelen. Dit is conform internationale normen voor certificerende instellingen, zoals ISO/IEC 17021. DigiTrust beoordeelt uitsluitend of de organisatie voldoet aan de toetsingscriteria. Zo blijft de onafhankelijkheid en integriteit van het certificeringsproces gewaarborgd.
Voor wie is het NIS2 Kwaliteitsmerk relevant?
Het kwaliteitsmerk is in de eerste plaats relevant voor organisaties die rechtstreeks onder de NIS2-richtlijn vallen. Daarnaast is het van belang voor leveranciers en dienstverleners die onderdeel uitmaken van de keten van deze organisaties. Denk bijvoorbeeld aan:
- IT-dienstverleners;
- softwareontwikkelaars;
- hosting- en cloudproviders;
- zorgaanbieders;
- overheidsleveranciers.
Ook voor organisaties die hun informatiebeveiliging willen aantonen richting opdrachtgevers of partners biedt het kwaliteitsmerk toegevoegde waarde.
Veelgestelde vragen over het NIS2 Kwaliteitsmerk
Is het NIS2 Kwaliteitsmerk verplicht?
Nee, het is geen wettelijke verplichting. Wel kan het door opdrachtgevers of ketenpartners worden vereist als bewijs van naleving van de NIS2-doelstellingen.
Wat is het verschil tussen NIS2 en ISO 27001?
NIS2 is een wettelijke richtlijn met eisen op het gebied van cyberbeveiliging. ISO 27001 is een internationale norm voor informatiebeveiligingsmanagementsystemen. Het NIS2 Kwaliteitsmerk kan gebruikmaken van ISO 27001 als basis voor toetsing.
Wie mag het kwaliteitsmerk toekennen?
Alleen onafhankelijke certificerende instellingen zoals DigiTrust mogen het NIS2 Kwaliteitsmerk toekennen na een objectieve beoordeling.
Moet mijn organisatie voldoen aan NIS2?
Dat hangt af van de sector, omvang en rol van uw organisatie. De aangepaste wetgeving bevat criteria voor ‘essentiële’ en ‘belangrijke’ entiteiten. Raadpleeg de overheid of uw brancheorganisatie voor meer informatie.
Conclusie
De NIS2-richtlijn vraagt van organisaties dat zij serieus werk maken van informatiebeveiliging en risicobeheersing. Het NIS2 Kwaliteitsmerk helpt om dit aantoonbaar te maken richting klanten, ketenpartners en toezichthouders. DigiTrust toetst onafhankelijk, zonder implementatieadvies, en doet dat volgens internationaal erkende normen.
Heeft u vragen over het kwaliteitsmerk of wilt u weten wat certificering inhoudt? DigiTrust legt het u graag helder en objectief uit.