NIS2, DORA, CER, CRA en talloze andere regelgevingen komen eraan. Vindt je het lastig om door de complexiteit te navigeren en een uniforme aanpak voor de implementatie te ontwikkelen? Je bent niet alleen. Veel kleinere organisaties staan voor de uitdaging om prioriteiten te stellen en aan deze nieuwe regels te voldoen, vooral wanneer tijd cruciaal is. Gelukkig is er een duidelijke leidraad die het proces kan vereenvoudigen.
Een golf van nieuwe regelgeving
In de afgelopen jaren hebben organisaties te maken gehad met een aanzienlijke toename van wettelijke eisen, zowel op EU- als nationaal niveau. Er is met name een sterke focus op digitale operationele weerbaarheid, met wetgevingen zoals de Digital Operational Resilience Act (DORA) voor de financiële sector en de Netwerk- en Informatiebeveiligingsrichtlijn (NIS2), die invloed heeft op een breed scala aan essentiële organisaties en dienstverleners.
Enkele belangrijke actuele voorbeelden:
- DORA (EU 2022/2554): Een verordening die onmiddellijk van kracht is voor de financiële sector zonder dat nationale omzetting nodig is.
- NIS2 (EU 2022/2555): Een richtlijn die wordt omgezet in nationale wetten, zoals de Nederlandse ‘Cyberbeveilingswet (CBW)’. Lees hier hoe je de weerbaarheid van jouw organisatie kunt vergroten.
- CER (Critical Entities Resilience Directive, EU 2022/2557): Richt zich op fysieke weerbaarheid, in Nederland omgezet in de ‘Wet weerbaarheid kritieke entiteiten (Wwke)’.
- CRA ( European Cyber Resilience Act): VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende horizontale cyberveiligheidseisen voor producten met digitale elementen en tot wijziging van Verordeningen (EU) nr. 168/2013 en (EU) 2019/1020 en Richtlijn (EU) 2020/1828
Een uniforme aanpak van compliance
Hoewel deze voorschriften complex zijn, hanteren veel van hen een risicogebaseerde aanpak. Deze methode is gebaseerd op de bekende “Deming”-cyclus, ofwel de “Plan-Do-Check-Act (PDCA)” cyclus, die als fundament dient voor het bereiken van naleving. Vanuit deze benadering kan worden gesteld dat de meeste wetgeving een vergelijkbaar proces in vier stappen volgt.
- Duidelijk beleid opstellen – Begin met het ontwikkelen van een solide beleid dat de regelgeving omzet in duidelijke, begrijpelijke richtlijnen. Deze beleidsregels moeten jouw organisatie richting geven over wat er moet worden nageleefd en een praktische ‘how-to’ bieden, zodat consistentie wordt gewaarborgd zonder te vervallen in operationele checklists. Belangrijke beleidsgebieden zijn onder andere: Informatie/Cyberbeveiliging, Bedrijfscontinuïteit en Uitbesteding/Afscheidingsbeheer.
- Implementeer processen en risicobeheer – Beleid is slechts het begin. Vertaal deze richtlijnen naar bruikbare processen, werkinstructies en sjablonen. Een uitgebreid raamwerk voor risicomanagement is cruciaal en biedt inzicht in de risico’s van jouw organisatie, de waarschijnlijkheid en de potentiële impact. Dit raamwerk helpt bij het prioriteren van acties en zorgt voor een consistente uitvoering.
- Controles toepassen en verifiëren – Om de geïdentificeerde risico’s te beperken, moeten de juiste controles worden geïmplementeerd. Dit kunnen administratieve, organisatorische of technische maatregelen zijn. Regelgeving verwijst vaak naar standaarden zoals ISO en NIST en benadrukt de noodzaak van regelmatige tests om de effectiviteit van deze controles in de loop der tijd aan te tonen. Een effectief risicomanagementsysteem helpt bij het bijhouden en rapporteren van deze controles.
- Uitgebreide rapportage – Inzicht en overzicht zijn cruciaal voor volwassenheid en compliance. Rapportage wordt steeds strenger en gestandaardiseerd, vooral onder NIS2 en DORA. EU-toezichthouders zullen waarschijnlijk gedetailleerde informatie opvragen om de volwassenheid van de organisatie te meten, waardoor grondige en nauwkeurige rapportage essentieel is.
Werk samen met Eraneos voor integrale compliance-oplossingen die jouw strategische succes versnellen.
Bij Eraneos zijn we gespecialiseerd in het begeleiden van organisaties door de complexiteit van nieuwe regelgeving, zodat je compliance en weerbaarheid kunt realiseren. Onze expertise bestrijkt verschillende sectoren en regelgevingskaders, met een huidige focus op NIS2 en DORA.
Onze service bestaat uit:
- Analyse van hiaten
- Beleidsontwikkeling
- Procesimplementatie
- Cyberbeveiliging en kaders voor risicobeheer
- Implementatie en testen van controles
- Uitgebreide rapportage
- Project-/programmamanagement
Wij werken nauw samen met onze klanten om duurzame, toekomstbestendige oplossingen te creëren. Door deze samenwerking kunnen we de uitdagingen op het gebied van regelgeving effectief aangaan en een weerbare, compliant organisatie opbouwen. Ben je klaar om jouw compliance traject te vereenvoudigen? Neem dan vandaag nog contact met ons op en ontdek hoe we samen kunnen werken aan een weerbare toekomst.