NIS2: Met deze nieuwe cybersecurity richtlijn krijgt (bijna) iedereen te maken

Van NIS naar NIS2

NIS, oftewel Network & Information Systems, is een Europese richtlijn met als doel om binnen de EU de veerkracht en veiligheid van het netwerk en informatiesystemen te verbeteren. De NIS-richtlijn richt zich op essentiële sectoren zoals water, energie en telecom. Als bedrijven in deze sectoren uitvallen hebben ze vaak een ontwrichtende impact op economie en samenleving. De eerste NIS-richtlijn moest ervoor zorgen dat bedrijven in deze sectoren passende maatregelen doorvoerden om de veiligheid en continuïteit van hun netwerk- en informatiesystemen te waarborgen. Zo kwam er de meldplicht van datalekken aan toezichthoudende instanties en volgde boetes als de boel niet op orde bleek te zijn.

Nu is het zo dat ieder EU-land de implementatie en naleving van die regels zelf kon bepalen. Eind vorig jaar is daarom de NIS2-richtlijn gepubliceerd en geeft lidstaten tot 18 oktober 2024 de tijd om de veranderingen door te voeren en wet- en regelgeving aan te passen. Het zorgt ervoor dat:

1. EU-landen veel meer één lijn gaan trekken op het gebied van cybersecurity en met name op de handhaving ervan door de toezichthoudende instanties.
2. De lijst met sectoren groter wordt en daarbij wordt een onderscheid gemaakt tussen essentiële en belangrijke bedrijven:
   • Essentiele bedrijven zijn bedrijven met 250 werknemers of een netto omzet van meer dan €50 miljoen en een balanstotaal van €43 miljoen. Deze bedrijven zullen proactief worden gemonitord door de toezichthoudende instanties.
   • Belangrijke bedrijven hebben meer dan 50 mensen in dienst en een jaaromzet groter dan €50 miljoen. Deze bedrijven kunnen eens in de zoveel tijd een audit verwachten.
   • Uitzondering: Kleiner dan 50 man en €50 miljoen, maar ben je aanbieder van vertrouwensdiensten (digitale diensten die de vertrouwelijkheid, integriteit en authenticiteit van elektronische transacties, communicatie en documenten waarborgen)? Dan moet jouw organisatie ook aan NIS2 voldoen.

Actief monitoren

Valt jouw bedrijf onder de NIS2-richtlijn dan heeft dat de nodige consequenties:

1. Naleving: Je dient je verplicht te houden aan de beveiligingsmaatregelen en rapportageplicht. Denk aan het hebben van de juiste certificeringen en het melden van ernstige incidenten aan de relevante instanties.
2. Verhoogde aansprakelijkheid: Bedrijven die niet voldoen aan de NIS2-richtlijn en die als gevolg daarvan gevoelige informatie verliezen, kunnen aansprakelijk worden gesteld voor de gevolgen ervan. Denk hierbij aan financiële verliezen, reputatieschade en juridische aansprakelijkheid.
3. Kosten: Je zult zeer waarschijnlijk extra kosten moeten gaan maken om te voldoen aan de richtlijn. Denk de aanpassing van bestaande systemen en processen, maar ook aan nieuwe mensen opleiden en aan de implementatie van nieuwe tooling en het monitoren van potentiële dreigingen.
   
   

Het melden van die potentiële bedreigingen is wat mij betreft een zeer ingrijpende maatregel. Daar waar de eerste NIS-richtlijn je verplichtte om incidenten binnen 24 uur te melden, geldt dit bij NIS2 ook voor potentiële bedreigingen. Dit houdt in dat je IT-afdeling zeer actief aan de slag zal moeten gaan met monitoring en rapportages.

To do-lijst

Hoe je straks moet gaan rapporteren staat nog niet helemaal vast en Q4 2024 lijkt nog best ver weg, maar uit ervaring weet ik dat actief monitoren ontzettend tijdrovend gaat zijn, laat staan het optimaal inrichten van je beveiliging. Dat laatste heb je nu al in de hand, dus wacht dan ook niet tot eind volgend jaar met het nalopen van je security en je procedures en start met het nalopen van de volgende aspecten:

1. Risicoanalyse: Ga na welke systemen en diensten van jouw organisatie het meest belangrijk en daarmee het grootste risico lopen bij een hack.
2. Bedrijfscontinuïteit: Is er goede back-up, maar ook voor noodherstel en crisisbeheer?
3. Supply chain security: Welke potentiële risico’s loopt jouw organisatie via externe leveranciers en dienstverleners?
4. Beveiliging van netwerk- en informatiesystemen: Hoe zijn deze ingericht en hoe wordt er omgegaan met kwetsbaarheden?
5. Incidentenafhandeling: Hoe worden incidenten nu afgehandeld en mogelijk geregistreerd?
6. Doeltreffendheid: Hoe is het met beleid en de procedures om de doeltreffendheid van cybersecurity te toetsen?
7. Training: Hoe goed is iedereen op de hoogte van het computerbeleid binnen de organisatie en wordt die ook nageleefd?
8. Cryptografie en encryptie: Hoe zit het met beleid en procedures rondom het gebruik van cryptografie en encryptie?
9. Fysieke beveiliging: Van personeel, toegangscontrolebeleid en activabeheer.
10. Multifactor authenticatie: Pas die toe bij accounts die vanaf het internet bereikbaar zijn, beheerrechten hebben en op accounts van essentiële systemen.

Zoals je kunt zien komt heel wat bij kijken bij het inrichten en naleven van een solide beveiliging. Het betreft niet alleen de technologie, maar ook de processen binnen het bedrijf en de mensen die er werken. De bovenstaande lijst gaat je helpen met het bepalen van welke maatregelen je nog moet doorvoeren of aanscherpen om zo goed als mogelijk NIS2-ready te zijn.

Door: Dirk de Goede, Security Solution Specialist Insight

Wil je meer weten over dit onderwerp of van gedachte wisselen, neem gerust contact met me op.

Dirk de Goede / 06 5775 0705 / dirk.degoede@insight.com