Wat betekent NIS2 voor jouw organisatie?
De Europees cybersecurity richtlijn NIS2 is de logische opvolger van de eerste NIS. Door de versnelling in digitalisering en de actuele dreigingen op het wereldtoneel is de druk t.a.v. cyberdreigingen toegenomen. Men spreekt over een ransomware pandemie. De stijging van ransomware aanvallen is dan ook een belangrijke reden waarom er vanuit de Europese Unie is gewerkt aan aanscherping van de bestaande NIS. De beveiligingsplichten vanuit de NIS2 moeten een hoger securityniveau binnen Netwerk- en Informatiesystemen bewerkstelligen. NIS1 wordt momenteel al volledig gehandhaafd. Voor NIS2 hebben we nog wat tijd; de datum waarop NIS2 definitief actief wordt staat voorlopig op oktober 2024.
Wat betekent dit voor uw organisatie? Welke vereisten moeten aangepast worden?
De NIS stamt nog maar uit 2016 maar als gezegd maken de dreigingen zoals we die momenteel zien dat er binnenkort een tweede, zwaardere versie aan komt. De NIS is in Nederland geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni) en kent drie pijlers als basis van ICT-beveiliging:
- Security risico’s in kaart brengen
- Risico’s beperken door bescherming & detectie
- Gevolgen van cyberincidenten beperken
Verantwoording bij de board
De NIS2 heeft veel autoriteit op het gebied van toezicht en handhaving. Bestuurders kunnen aansprakelijk worden gesteld en geschorst na cyberincidenten, en de boetes zijn hoog. Dit maakt cybersecurity niet langer enkel de verantwoordelijkheid van IT-beheerders, maar ook van de bestuurders zelf. De verplichtingen onder NIS2 zijn drieledig, organisaties die onder de NIS2-richtlijn vallen moeten in 2024 voldoen aan:
- Zorgplicht: Voer een risico assessment uit, neem passende maatregelen om diensten en informatie te beschermen.
- Meldplicht: Meld incidenten binnen 24 uur bij de toezichthouder en het Computer Security Incident Response Team (CIRT).
- Toezicht: Organisaties worden gecontroleerd op naleving van de verplichtingen.
NIS2 verhoogt de cybersecurity eisen door heel Europa en classificeert steeds meer organisaties als ‘essentieel bedrijf’. Hierdoor moeten steeds meer bedrijven voldoen aan hogere eisen, maar ze krijgen nu ook ondersteuning van de overheid wanneer ze getroffen worden door cyberincidenten. Voor de EU was een extra motivatie om de NIS2 in te voeren het feit dat bij zakendoen met andere EU-landen of het hebben van meerdere vestigingen in verschillende landen, er diverse regels gelden. Om een uniforme aanpak te waarborgen, streeft de EU ernaar dat elke lidstaat dezelfde wet toepast en één lijn trekt.
NIS2 - Essentiële entiteiten en gouvernance
De NIS2 richtlijn is van toepassing op essentiële entiteiten, ook bekend als vitale sectoren, waaronder energie, transport, bankwezen, infrastructuur financiële markten, gezondheidszorg, drink- en afvalwaterbedrijven, digitale infrastructuur, overheidsdiensten, ruimtevaart, post- en koeriersdiensten, afvalbeheer, chemie, voedingsproductie, research, industrie en aanbieders van ICT-diensten. Bovendien biedt de NIS2 de lidstaten de flexibiliteit om ook andere (kleinere) organisaties te identificeren met een hoog veiligheidsrisicoprofiel.
De NIS2-richtlijn is van toepassing op essentiële entiteiten in sectoren zoals energie, transport, bankwezen, gezondheidszorg en meer. Lidstaten kunnen ook andere organisaties met een hoog veiligheidsrisico identificeren. Gouvernance, detectie, registratie en opvolging zijn cruciaal voor effectieve beveiliging en beheer van systemen en data. Bewustzijn rondom cybersecurity neemt toe, maar veel incidenten kunnen nog worden voorkomen door zorgvuldiger te handelen.
NIS2-CyberSCAN - Advies door onze netwerk security experts
iunxi biedt advies en helpt bij de voorbereiding op de nieuwe richtlijn. Onze netwerksecurity specialisten analyseren de huidige security status van jouw organisatie en adviseren over passende maatregelen om aan de wet te voldoen. Onze aanpak volgt het protect, detect, respond & cover framework. Drie basisadviezen van onze specialisten zijn:
- Weet wie zich waar bevindt binnen jouw systemen.
- Maak regelmatig back-ups en test deze.
- Gebruik multifactor-authenticatie.
Neem contact op met Barry
Meer weten over NIS2 of een CyberScan aanvragen voor jouw organisatie? Neem direct contact op.