NL 
EN 
DE 
NIS2 Richtlijn – Quality Mark
NIS2 wetgeving beschrijft dat essentiële en belangrijke bedrijven, ook wel NIS2 bedrijven genoemd, verantwoordelijk zijn voor de cyberveiligheid van hun toeleveringsketen. Dit betekent dat zij van hun directe leveranciers, veelal MKB-bedrijven, moeten gaan eisen dat zij kunnen aantonen dat ze veilig digitaal werken. Organisaties die aan de NIS2 richtlijn voldoen tonen dit aan met een NIS2 Quality Mark certificaat.
DigiTrust kan u en uw leveranciers conform de NIS2 Quality Mark auditen en certificeren.
Wat voor type organisatie bent u?
Veel MKB organisaties leveren diensten aan zogenaamde NIS2 bedrijven. Om te bepalen of uw organisatie zelf wel of niet een NIS2 organisatie is, heeft het NCSC een poster gemaakt en online NIS2-zelfevaluatie toets. Organisaties die worden gekenmerkt als een NIS2 organisatie moeten uiteraard aan de NIS2 richtlijn voldoen en zijn ook verplicht om zich bij het NCSC te registreren. <link>
note: Ieder land heeft een eigen vertaling gemaakt van de Europese NIS2 wetgeving. In Nederland wordt dat de Cyber Beveiligings Wet, afgekort CBW. De verwachting is dat deze wet juni/juli 2025 wordt gepubliceerd.
Binnen de NIS2 wetgeving wordt er onderscheid gemaakt tussen essentiële en belangrijke bedrijven, deze worden ook wel NIS2 bedrijven genoemd. Deze bedrijven moeten zelf aan de NIS2 wetgeving voldoen, maar ook hun toeleveringsketen. Het NIS2 Quality Mark helpt hier dus hierbij.
NIS2 richtlijn: verschillende niveaus
Binnen NIS2 Quality Mark zijn er 3 niveaus, afgestemd op het risico van de geleverde dienst.
- NIS2-QM10 (Basis)
- NIS2-QM20 (Substantieel)
- NIS2-QM30 (Hoog)
Leveranciers – NIS2 richtlijn
De NIS2 organisaties moeten aan hun leveranciers, veelal MKB organisaties, gaan eisen dat ze kunnen aantonen dat ze voldoen aan de NIS2 wetgeving. Het hebben van een ISO27001 certificaat is daarbij niet voldoende. Het NIS2 Quality Mark certificaat geeft hiervoor aanvullend bewijs waarmee zij aantonen aan de NIS2 richtlijn te voldoen.
Quality Mark 10 (QM10)
Als uw organisatie niet registratie plichtig is, maar u levert wel diensten aan een NIS2 organisatie, dan moet uw organisatie ook aan de NIS2 voldoen. Voor de meeste MKB organisaties zal het Quality Mark level 10 (QM10) voldoende zijn, om aan te tonen dat u de basis op orde heeft.
Quality Mark 20 (QM20)
Levert uw organisatie echter ICT of OT diensten dan kan het zijn dat uw klant QM20 of zelfs QM30 gaat eisen. Dit is uiteraard sterk afhankelijk van het risico wat de klant heeft m.b.t. uw geleverde dienst en de impact op de BIV.
- Beschikbaarheid (is het systeem er wel of niet),
- Integriteit (klopt de data in de systemen wel) en de
- Vertrouwelijkheid (is goed geregeld wie wat wel of niet mag zien)
Quality Mark 30 (QM30)
Indien uw organisatie direct onder de NIS2 valt en u dus registratieplichtig bent, dan is het NIS2 Quality Mark level 30 voor uw organisaties minimaal van toepassing. Het hebben van een aanvullende, onder accreditatie ISO27001/NEN7510/IEC 62443 certificering is sterk aan te bevelen.
Hoeveel lang duurt een certificering audit?
Er is een tabel beschikbaar, waarin per norm is uitgewerkt hoeveel audittijd er per type organisatie benodigd is. Afhankelijk van uw context kan de audit-tijd binnen de range lager of hoger zijn.
note; indien u al een ISO27001/NEN7510 certificering heeft, dan krijgt u ontheffing op specifieke eisen die al gedekt zijn binnen deze certificering. Dit geeft een vermindering van het aantal audit-uren in bovenstaande tabel.
Hoe vraagt u een NIS2 Quality Mark certificering aan?
Indien u van mening bent dat u aan de NIS2 richtlijn van het NIS2 Quality Mark voldoet is DigiTrust bevoegd om bij u een audit uit te voeren. Neem contact met ons op voor de start van deze certificering. Indien de audit door DigiTrust positief wordt afgerond, zal de Stichting Kwaliteitsinnovatie het certificaat voor u opmaken en publiceren. Hiervan komt een centraal register.
Het certificaat is 3-jaar geldig. Neem contact met ons op voor een vrijblijvende offerte: sales@digitrust.nl
