De nieuwe NIS-2 cybersecuritywet: alles wat u moet weten

In januari 2023 werd een nieuwe editie van de Europese NIS-richtlijn gepresenteerd, bekend als NIS-2. Deze richtlijn beoogt de beveiliging van toeleveringsketens te verbeteren door bedrijven te verplichten om cyberbeveiligingsrisico’s binnen hun toeleveringsketens en leveranciersrelaties te controleren. Het hoofddoel van NIS-2 is het verbeteren van de cyberbeveiliging van de toeleveringsketen voor essentiële informatie- en communicatietechnologieën op Europees niveau.

Inhoudsopgave

Wat is NIS 2.0 en wie zijn de belanghebbenden?

NIS staat voor Netwerk- en Informatiesystemen, en het vertegenwoordigt de eerste EU-wetgeving met betrekking tot cybersecurity. Momenteel is NIS 1 van kracht, een richtlijn die van toepassing is op essentiële bedrijven zoals water- en telecombedrijven. De opvolger, NIS 2.0, brengt een aanzienlijke verhoging van de cybersecurity-eisen met zich mee en is van toepassing op een breder scala van sectoren in heel Europa. In tegenstelling tot de eerdere richtlijn, richt NIS 2.0 zich niet alleen op grote organisaties. Deze nieuwe wetgeving heeft ook invloed op MKB-bedrijven die essentiële diensten leveren of die leveranciers zijn van deze essentiële diensten.

De NIS 2.0 richtlijn verdeelt organisaties in twee categorieën: ‘Essentieel’ en ‘Belangrijk’. Beide categorieën hebben dezelfde eisen op het gebied van informatiebeveiliging, maar verschillen in toezicht- en sanctieregelingen. Het is van cruciaal belang dat organisaties in beide categorieën voldoen aan de vastgestelde eisen om te zorgen voor een robuuste cybersecurity en om mogelijke sancties te voorkomen.

Wat vormt het fundament van NIS-2?

NIS-2 is gebouwd op drie beveiligingsprincipes:

  • Identificeren van beveiligingsrisico’s;
  • Beperken van risico’s door bescherming en detectie;
  • Het minimaliseren van de impact van cyberaanvallen.
 

Deze drie principes vormen nu de basis voor beveiligingseisen in vitale sectoren. Met de nieuwe eisen zal het aantal bedrijven dat binnen deze categorie valt, aanzienlijk toenemen. De richtlijn is ook van toepassing op aanbieders van cloudservices, ook wel bekend als Managed Service Providers zoals wij.

Welke stappen moeten ondernomen worden?

NIS-2 adviseert het nemen van passende en evenwichtige technische, operationele en organisatorische maatregelen. Deze maatregelen hebben tot doel om de beveiliging van netwerk- en informatiesystemen te beheren en om incidenten te voorkomen of de impact van incidenten voor de klanten van een mogelijk getroffen bedrijf te minimaliseren. Hierbij moet rekening worden gehouden met de huidige technologische standaarden en de relevante Europese en internationale normen, evenals de implementatiekosten.

Hier zijn de cruciale maatregelen die genomen moeten worden om te voldoen aan de NIS2-richtlijn:

  1. Grondige NIS2 Compliance Assessment: De eerste stap is het uitvoeren van een grondige beoordeling van de huidige cybersecurity-maatregelen van de organisatie. Deze beoordeling is bedoeld om zwakke plekken en gebieden van non-compliance met de NIS2-richtlijn te identificeren. Het is raadzaam om hierbij de expertise van externe cybersecurity-consultants in te schakelen om een objectieve evaluatie te garanderen.

  2. Implementatie van NIS2-compatibel Beveiligingskader: Op basis van de resultaten van de compliance-beoordeling moet de organisatie een NIS2-compatibel beveiligingskader ontwikkelen en implementeren. Dit omvat het vaststellen van interne regels, beleidslijnen en procedures die voldoen aan de vereisten van de NIS2-richtlijn. Het kan ook betrekking hebben op het versterken van de bestaande beveiligingsmaatregelen en het opstellen van een robuust incidentresponsplan.

  3. Aanwijzen van NIS2 Verantwoordelijken: Het is cruciaal om specifieke personen of teams binnen de organisatie aan te wijzen als verantwoordelijken voor het toezicht op de NIS2-naleving en het beheer van cybersecurity-incidenten. Deze aangewezen personen moeten goed op de hoogte zijn van de NIS2-richtlijn en in staat zijn om snel en adequaat te reageren op mogelijke bedreigingen.

  4. Regelmatige Monitoring en Beveiligingsupdates: Cyberdreigingen evolueren voortdurend, en het is van vitaal belang om de cybersecurity-inspanningen voortdurend te monitoren en bij te werken. Regelmatige interne audits, penetratietests en beveiligingsupdates zijn essentieel om te beoordelen of de beveiligingsmaatregelen nog steeds effectief zijn en om te kunnen inspelen op de steeds veranderende dreigingsomgeving.

  5. Samenwerking en Informatiedeling: De NIS2-richtlijn benadrukt het belang van samenwerking tussen organisaties en de overheid op het gebied van cybersecurity. Organisaties moeten openstaan voor het delen van relevante informatie over cyberdreigingen en incidenten met de juiste autoriteiten. Het opzetten van effectieve communicatiekanalen met overheidsinstanties kan de reactietijd bij cyberaanvallen verkorten en de impact ervan verminderen.

  6. Cybersecurity Bewustzijnstraining: Het menselijke element blijft een zwakke schakel in cybersecurity. Organisaties moeten hun medewerkers bewust maken van de risico’s en uitdagingen op het gebied van cybersecurity. Regelmatige cybersecurity bewustzijnstrainingen kunnen het personeel helpen potentiële gevaren beter te herkennen en te vermijden.

Waarom is risicomanagement zo cruciaal?

De maatregelen die worden genomen, moeten een beveiligingsniveau van de netwerk- en informatiesystemen waarborgen dat is afgestemd op de potentiële risico’s. Bij het overwegen van een te nemen maatregel moet rekening worden gehouden met de risico’s die een organisatie loopt, de omvang van de organisatie en de mogelijke maatschappelijke en economische gevolgen van een incident.

Wat is de deadline?

De nieuwe richtlijn werd gepubliceerd op 16 januari 2023 en de Europese lidstaten hebben tot 17 oktober 2024 de tijd om de noodzakelijke voorwaarden te implementeren en te publiceren om aan de richtlijn te voldoen. Op 18 oktober 2024 moet de richtlijn volledig operationeel zijn.

IT-beveiliging heeft altijd onze hoogste prioriteit gehad, dus we juichen het ontstaan van dergelijke richtlijnen toe en volgen ze nauwlettend om ervoor te zorgen dat we tijdig voldoen aan de eisen van deze nieuwe richtlijn.

Meer informatie over Cybersecurity?

Download dan hier gratis ons eBook voor meer informatie.

Download

Download het gratis eBook:

Cybersecurity voor bedrijven

Microsoft 365 beveiliging

Cybercriminaliteit maakt een steeds grotere impact

Cybercriminelen slaan steeds vaker toe en kunnen enorme schade aanrichten. Het is daarom belangrijk om bescherming te bieden tegen deze bedreigingen, omdat het een grote impact kan hebben op organisaties.
In dit eBook bespreken wij allerlei oplossingen die helpen om uw organisatie te beschermen. Cybercriminelen slaan steeds vaker toe, waardoor het noodzakelijk is om bescherming te bieden tegen deze bedreigingen.

Het in gebruik nemen en omarmen van Copilot for Microsoft 365 roept voor organisaties veel vragen op. Hoe ga ik met de privacy en veiligheid van mijn bedrijfsgegevens om? Hoe zorg ik ervoor dat het integreert binnen mijn bestaande systemen en werkprocessen? Valt de investering te rechtvaardigen en hoe haal ik daar het meeste rendement uit?

Een strategische IT-partner zoals OfficeGrip kan uw organisatie helpen bij het beantwoorden van deze vragen, zodat Copilot succesvol in gebruik kan worden genomen. Dit doen wij door zowel focus te leggen op de technologische als de menselijke aspecten met behulp van het doorlopen van de benodigde stappen. Download het gratis Ebook door je gegevens in te vullen.

Onderwerpen in dit eBook:

  • Waarom cybersecurity noodzakelijk is
  • Hoe gegevens binnen uw organisatie beschermd kunnen worden
  • Hoe gegevens binnen uw organisatie beschermd kunnen worden
  • Hoe cybercriminelen buiten de deur worden gehouden

eBook aanvragen

ADRES

Blauwhekken 5b
4751 XD Oud Gastel

CONTACT

CUSTOMER CARE

LINKS

Building Our Future - Your.Cloud - White
ISO-27001