Het bewijs dat je digitaal veilig werkt: het NIS-2 Quality Mark

Het NIS-2 Quality Mark is een keurmerk dat aantoont dat jouw bedrijf digitaal veilig werkt en voldoet aan de eisen van de NIS-2 richtlijn. Het is opgebouwd uit een modulair normensysteem met drie niveaus: QM10, QM20 en QM30. Elk niveau biedt specifieke beveiligingsmaatregelen die afgestemd zijn op de risico’s en behoeften van jouw organisatie.

‍

Levert jouw organisatie direct of indirect aan NIS2-bedrijven? Dan is NIS2-QM10 vaak het keurmerk dat je nodig hebt om te bewijzen dat je voldoet aan de vereiste veiligheidsstandaarden. Dit is de standaardnorm voor de meeste bedrijven in de toeleveringsketen.

‍

De vuistregel is simpel: hoe groter de impact van jouw producten of diensten op je klant, hoe groter het risico dat je vormt, en hoe hoger de norm die je moet behalen. Met het NIS2 Quality Mark toon je niet alleen compliance aan, maar versterk je ook het vertrouwen in jouw bedrijf.

‍

De NIS2-richtlijn stelt essentiële en belangrijke bedrijven, de zogenaamde NIS2-bedrijven, verantwoordelijk voor de cyberveiligheid binnen hun toeleveringsketen. Zij zullen daarom van hun directe leveranciers, vaak mkb-bedrijven, eisen dat zij kunnen aantonen digitaal veilig te werken. Dit betekent dat mkb-bedrijven een concreet bewijs moeten overleggen van de door hun genomen beveiligingsmaatregelen. Dit kan middels het NIS-2 Quality Mark.

We kunnen ons voorstellen dat je je nu afvraagt: wat houdt QM10, QM20 en QM30 dan concreet in? De QM10 gaat in op organisatorische, mensgerichte, fysieke en technologische beheersmaatregelen. Binnen de QM20 en QM30 wordt dit uitgebreid met OT-management en IT-management beheersmaatregelen, waarbij er binnen de QM30 aanvullende beheersmaatregelen zijn ten opzichte van de QM20. Hieronder vind je een beknopt overzicht van de maatregelen: 

‍

QM10 - Basismaatregelen

Onder de QM10 moet je beheersmaatregelen implementeren, zoals: 

1️⃣ Cybersecuritybeleid – Formeel vastgesteld beleid met duidelijke verantwoordelijkheden.

2️⃣ Toegangsbeheer – Multi-factor authenticatie (MFA) en strikte toegangsrechten.

3️⃣ Incidentbeheer – Procedures voor het detecteren en melden van beveiligingsincidenten.

4️⃣ Beveiliging van apparaten – Regelmatige updates en bescherming tegen malware.

5️⃣ Bewustwording & training – Medewerkers en bestuurders opleiden in cybersecurity.

‍

Uitbreidingen in QM20 t.o.v. QM10

De QM20 heeft meer eisen, waarbij je aanvullende beheersmaatregelen moet implementeren zoals: 

1️⃣ Classificatie van informatie – Beleid voor vertrouwelijkheid en bescherming van gegevens.

2️⃣ Leveranciersbeveiliging – Eisen en afspraken over cybersecurity in contracten.

3️⃣ Controle op gebruikersaccounts – Striktere registratie, monitoring en intrekking van accounts.

4️⃣ Beveiliging van gegevensoverdracht – Encryptie en veilige communicatiekanalen.

5️⃣ Toezicht op naleving – Regelmatige interne evaluaties van beveiligingsmaatregelen.

‍

Uitbreidingen in QM30 t.o.v. QM20

Het meest uitgebreide kwaliteitsmerk is de QM30, waarbij je moet voldoende aan extra beheersmaatregelen zoals: 

1️⃣ Beheer van OT-systemen – Inventarisatie, segmentatie en patchbeheer voor operationele technologie.

2️⃣ Striktere clouddiensten-controle – Veilige selectie, monitoring en exitstrategieën voor cloudleveranciers.

3️⃣ Veilige softwareontwikkeling – Beheer van broncode en testen van applicatiebeveiliging.

4️⃣ Digitale forensische bewijslast – Procedures voor het verzamelen en veiligstellen van incidentgegevens.

5️⃣ Onafhankelijke beveiligingsaudits – Externe toetsing van cybersecuritymaatregelen.

‍

Wil je meer weten over de kwaliteitsmerken? Je kunt hier de complete inhoud van de kwaliteitsmerken downloaden.
‍