NIS2 - Essentiële verplichtingen voor IT-security

Aangescherpte beveiligingsplichten voor Netwerk & Informatiesystemen

”De overheid verwacht van ons Zorgplicht, Meldplicht en Toezicht rondom IT-netwerken. Zelfs zover dat, als dit niet op orde is gebleken in uw organisatie, bestuurders op basis van NIS2 persoonlijk aansprakelijk kunnen worden gesteld na cyberincidenten. Nog afgezien van de aanzienlijke boetes die daarbij worden opgelegd dwingt men organisaties op die manier te zorgen voor compliancy.”

- Barry Huis in ‘t Veld, COO & CISO bij iunxi

Wat betekent het voor mijn ICT?

Aangescherpte beveiligingsplichten voor Netwerk en Informatiesystemen

De Europees cybersecurity richtlijn NIS2 is de logische opvolger van de eerste NIS. Door de versnelling in digitalisering en de actuele dreigingen op het wereldtoneel is de druk t.a.v. cyberdreigingen toegenomen. Men spreekt over een ransomware pandemie. De stijging van ransomware aanvallen is dan ook een belangrijke reden waarom er vanuit de Europese Unie is gewerkt aan aanscherping van de bestaande NIS. De beveiligingsplichten vanuit de NIS2 moeten een hoger securityniveau binnen Netwerk- en Informatiesystemen bewerkstelligen. NIS1 wordt momenteel al volledig gehandhaafd. Voor NIS2 hebben we nog wat tijd; de datum waarop NIS2 definitief actief wordt staat voorlopig op oktober 2024.

 

Wat betekent dit voor uw organisatie? Welke vereisten moeten aangepast worden?

De NIS stamt nog maar uit 2016 maar als gezegd maken de dreigingen zoals we die momenteel zien dat er binnenkort een tweede, zwaardere versie aan komt. De NIS is in Nederland geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni) en kent drie pijlers als basis van ICT-beveiliging:
– Security risico’s in kaart brengen
– Risico’s beperken door bescherming & detectie
– Gevolgen van cyberincidenten beperken

Verantwoording bij de board

De NIS2 heeft veel autoriteit op het gebied van toezicht en handhaving. Bestuurders kunnen aansprakelijk worden gesteld en geschorst na cyberincidenten, en de boetes zijn hoog. Dit maakt cybersecurity niet langer enkel de verantwoordelijkheid van IT-beheerders, maar ook van de bestuurders zelf. De verplichtingen onder NIS2 zijn drieledig, organisaties die onder de NIS2-richtlijn vallen moeten in 2024 voldoen aan:

  1. Zorgplicht: Voer een risico assessment uit, neem passende maatregelen om diensten en informatie te beschermen.
  2. Meldplicht: Meld incidenten binnen 24 uur bij de toezichthouder en het Computer Security Incident Response Team (CIRT).
  3. Toezicht: Organisaties worden gecontroleerd op naleving van de verplichtingen.

NIS2 verhoogt de cybersecurity eisen door heel Europa en classificeert steeds meer organisaties als ‘essentieel bedrijf’. Hierdoor moeten steeds meer bedrijven voldoen aan hogere eisen, maar ze krijgen nu ook ondersteuning van de overheid wanneer ze getroffen worden door cyberincidenten. Voor de EU was een extra motivatie om de NIS2 in te voeren het feit dat bij zakendoen met andere EU-landen of het hebben van meerdere vestigingen in verschillende landen, er diverse regels gelden. Om een uniforme aanpak te waarborgen, streeft de EU ernaar dat elke lidstaat dezelfde wet toepast en één lijn trekt.

NIS2 - Essentiële entiteiten en gouvernance

De NIS2-richtlijn is van toepassing op essentiële entiteiten in sectoren zoals energie, transport, bankwezen, gezondheidszorg en meer. Lidstaten kunnen ook andere organisaties met een hoog veiligheidsrisico identificeren. Gouvernance, detectie, registratie en opvolging zijn cruciaal voor effectieve beveiliging en beheer van systemen en data. Bewustzijn rondom cybersecurity neemt toe, maar veel incidenten kunnen nog worden voorkomen door zorgvuldiger te handelen.

NIS2-CyberSCAN - Advies door onze netwerk security experts

iunxi biedt advies en helpt bij de voorbereiding op de nieuwe richtlijn. Onze netwerksecurity specialisten analyseren de huidige security status van jouw organisatie en adviseren over passende maatregelen om aan de wet te voldoen. Onze aanpak volgt het protect, detect, respond & cover framework. Drie basisadviezen van onze specialisten zijn:

  1. Weet wie zich waar bevindt binnen jouw systemen.
  2. Maak regelmatig back-ups en test deze.
  3. Gebruik multifactor-authenticatie.

 

Interesse in een scan of meer informatie? Neem contact met ons op via onderstaand formulier.

"*" indicates required fields

This field is for validation purposes and should be left unchanged.