Samen met NCOD ontwikkelen we een kant-en-klaar NIS2-normenkader voor de overheids- en zorgmarkt — met alle vereiste maatregelen uit de Europese NIS2-richtlijn, direct bruikbaar binnen Normity. In dit artikel lees je wat het kader bevat, voor wie het bedoeld is en waarom we deze samenwerking zijn aangegaan.
De NIS2 richtlijn is inmiddels wel bij iedereen bekend. Maar hoe toon je nu aan dat je compliant bent met deze richtlijn? In samenwerking met NCOD (https://ncod.nl) is een normenkader ontwikkeld. Dit normenkader heeft de verplichtingen vanuit de richtlijn vertaald naar concrete en behapbare normelementen. Daarmee kun je eenvoudiger aantonen dat je in overeenstemming werkt met de richtlijnen.
Hoe dit praktisch werkt vertellen we je graag in dit artikel. We nemen je daarvoor stap voor stap door Normity heen, zodat je precies ziet hoe het ook voor jou kan werken. Omdat het een onderdeel van Normity is, is het bovendien eenvoudig te combineren met andere normen en richtlijnen. Zo kun je bijvoorbeeld ook de ISO 27001, ISO 9001, NEN 7510, HKZ norm of het AVG borgingsproduct koppelen aan jouw NIS2 verplichtingen. Ideaal!
Je begint met het vastleggen van de toepasselijkheid. Dit is de basis van het normenkader en bepaalt welke normelementen binnen de NIS2 voor jouw organisatie van toepassing zijn. Misschien heb je geen personeel in dienst, doe je zelf niet aan software ontwikkeling etc. Dit soort uitzonderingen leg je vast in de toepasselijkheid. In Normity kun je zo eenvoudig aangeven welke onderdelen van de NIS2 richtlijn relevant zijn voor jouw organisatie. Deze toepasselijkheid bepaalt vervolgens jouw zogenaamde verklaring van toepasselijkheid. Je kunt dit natuurlijk op ieder moment weer aanpassen, mocht dat nodig zijn.
Wil je de toepasselijkheid wijzigen? Dan klik je eenvoudig onder de toepasselijkheid op de knop 'Wijzigen'. Vervolgens kun je de bestaande toepasselijkheid aanpassen. Je kunt dan bovendien aangeven of het onderwerp is uitbesteed, en wat de grondslagen zijn om het normelement van toepassing te verklaren. Verklaar je een normelement niet van toepassing? Dan moet je ook aangeven waarom dit niet van toepassing is op jouw organisatie.
Heb je de toepasselijkheid vastgesteld? Dan is het tijd om de van toepassing verklaarde normelementen te gaan invullen. Je begint daarbij met het vastleggen van de huidige situatie. Zo weet je precies wat je al hebt gedaan en waar je nog aan moet werken. Middels handige kleurtjes zie je direct op welke onderdelen je al compliant bent met de NIS2.
Het opgeven van de huidige situatie is eenvoudig. Je klikt op het normelement dat je wilt invullen en geeft aan wat de huidige situatie is. In Normity kun je dit vastleggen op verschillende manieren. Je start met een tekstuele beschrijving, een status en een inschatting van het huidige volwassenheidsniveau. Ook geef je aan op welke wijze je de compliancy kunt aantonen. En ontbreken er nog zaken, dan kun je meteen acties aanmaken en uitzetten in de organisatie!
Nu is het tijd om aantoonbaar te maken dat je ook daadwerkelijk compliant bent met de NIS2 richtlijn. Dit doe je door de bewijslast vast te leggen bij ieder normelement. In Normity kun je dit doen door o.a. (verwijzingen naar) documenten, taken en acties toe te voegen aan de normelementen, maar ook vragenlijsten, incidenten, doelstellingen, risico's en nog veel meer.
Bij vrijwel ieder normelement heb je wel een of meer relevante documenten. Misschien een beleidsdocument of een procedure, werkinstructie, maar wellicht ook gespreksverslagen, notulen, rapportages of andere documenten. Deze documenten koppel je aan de bijbehorende normelementen. Het maakt daarbij niet uit of het document rechtstreeks in Normity zit of in een andere omgeving.
Naast documenten zijn ook taken belangrijk. Dit zijn activiteiten die je periodiek uitvoert. Denk bijvoorbeeld aan calibraties, controles, audits, maar ook werkplekinspecties, leverancierbeoordelingen, klanttevredenheidsonderzoeken of het uitvoeren van een risicoanalyse. Al deze taken koppel je eenvoudig aan de bijbehorende normelementen. De resultaten ervan heb je dan ook meteen beschikbaar bij het normelement!
Je kunt in Normity ook acties aanmaken en koppelen aan normelementen. Acties zijn zaken die je eenmalig doet, bijvoorbeeld het ophangen van een beveiligingscamera, het invoeren van een nieuwe procedure of het opzetten van een verwerkingsregister. Bij de eerste keer invullen zul je vooral acties toevoegen voor zaken die nog ontbreken. Je kunt zo'n actie vervolgens meteen een deadline geven, koppelen aan een uitvoerder etc. Normity regelt vervolgens het opvolgen van de acties voor jou!
De risicoanalyse neemt een belangrijke plaats in binnen de NIS2 richtlijn. In Normity kun je risicoanalyse vastleggen, risicio's beoordelen, eigenaarschap toekennen en maatregelen koppelen aan te beheersen risico's. Daarvoor maak je gebruik van de speciaal hiervoor ontwikkelde module. Deze module is volledig geïntegreerd met de NIS2 normenkader, zodat je eenvoudig de risico's kunt koppelen aan de normelementen. Zo weet je precies welke risico's er zijn en hoe je deze beheerst. En het mooiste is nog wel: je koppelt al deze risico's ook weer aan de bijbehorende normelementen, taken, acties, documenten en gebruikers. Zo heb je altijd een compleet overzicht.
Met behulp van Normity en dit overzichtelijke normenkader kun je eenvoudig jouw NIS2 verplichtingen vastleggen en aantonen dat je compliant bent. Het is een krachtige tool die je helpt om de NIS2 richtlijn op een gestructureerde manier te implementeren en te beheren. Wil je meer weten? Laat het ons weten en we helpen je graag verder!