Levert jouw bedrijf een essentiële dienst aan consumenten? Dan moet je voor 17 oktober 2024 jouw cybersecurity zaken op orde hebben. Dit lijkt ver weg, maar voor je het weet is het zover. Wij helpen je graag om te onderzoeken hoe de cybersecurity van jouw bedrijf ervoor staat en we zorgen er samen voor dat je op tijd alle zaken op orde hebt.
De NIS2-richtlijn heeft betrekking op sectoren die al onder de eerste NIS-richtlijn vallen, en op een aantal nieuwe. Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren en volgens de bepaalde criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit. De richtlijn geldt daarom nu ook voor overheidsinstanties. Sommige overheidsentiteiten, zoals die betrokken bij nationale veiligheid, zijn echter nog steeds uitgesloten.
Hoe bereid je jouw organisatie – en die van jouw klanten - voor op NIS2?
Volgens de NIS2-richtlijnen zijn er verschillende stappen die organisaties moeten ondernemen om hun cybersecurity te verbeteren:
Bedrijven en organisaties moeten zelf hun risico's beoordelen en passende maatregelen nemen om hun diensten en informatie te beschermen. Het is belangrijk om eerst het bestaande beveiligingsbeleid en de huidige maatregelen te evalueren. Organisaties moeten mogelijke risico's identificeren en nadenken over zaken als de locatie van hun informatie, wie verantwoordelijk is voor de beveiliging, en wie geïnformeerd moet worden bij een incident.
Een meerlaags securitybeleid is essentieel. Dit kan met securitysoftware, detectie en respons op endpoints, netwerken en monitoring, e-mailbeveiligingsgateways, firewalls, backups, biometrische beveiliging en MFA. De invulling van een sterk securitybeleid hangt af van de organisatie en de IT-infrastructuur. Regelmatige tests en evaluaties zijn nodig om de effectiviteit van de maatregelen te waarborgen en inzicht te krijgen in eventuele ontbrekende aspecten.
NIS2 vereist dat organisaties een Incident Response Plan hebben. Dit plan bereidt de organisatie voor op crisissituaties en beschrijft de te ondernemen stappen. Het helpt kosten te besparen, herstelwerkzaamheden te minimaliseren en rust te creëren in tijden van chaos.
Het testen, evalueren en aanpassen van het beveiligingsplan is cruciaal om de effectiviteit ervan te waarborgen. Organisaties dienen basismaatregelen te nemen zoals het opstellen van beveiligingsbeleid en -procedures, het uitvoeren van risicoanalyses, het monitoren van netwerken en systemen, en het implementeren van passende beveiligingsmaatregelen. Als een organisatie moeite heeft met het simuleren van een noodsituatie, zijn er externe bedrijven die kunnen helpen bij het uitvoeren van een audit.
Als er een ernstig incident plaatsvindt, moet dit binnen 24 uur gemeld worden. Dit is belangrijk om snel hulp te krijgen en de impact te beperken. Een cyberincident moet ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden.
Factoren die een incident meldingswaardig maken, zijn bijvoorbeeld het aantal personen dat door het incident geraakt is, de tijdsduur van een verstoring en de mogelijke (financiële) verliezen.
Het trainen van werknemers in cyberbeveiligingsbewustzijn belangrijk, omdat zij toegang hebben tot gevoelige bedrijfsinformatie en dagelijks gebruikmaken van het bedrijfsnetwerk.
Er zal onafhankelijk toezicht zijn op de naleving van bovengenoemde richtlijnen. Hoe dit precies wordt ingevuld, is nog in ontwikkeling.
Door NIS2 worden organisaties gestimuleerd om proactief te zijn in hun beveiligingsplanning, om zo paniek te voorkomen, snel te kunnen handelen en de schade te beperken. NIS2 is dus een stap voorwaarts in het verbeteren van de digitale veiligheid in Europa. Feit is dat jouw klanten, ook al zijn ze nu nog niet verplicht om aan de NIS2 richtlijnen te voldoen, baat hebben bij het naleven ervan. Bestaande wetten en regelgeving voor informatie- en databeveiliging, waaronder de Baseline Informatiebeveiliging Overheid (BIO), vormen de basis van de zorg- en meldplicht die uit NIS2 volgt. Het volgen van deze huidige regels is dus een belangrijk startpunt.
