OfficeGrip_logo

De nieuwe NIS-2 cybersecuritywet: alles wat u moet weten

In januari 2023 werd een nieuwe editie van de Europese NIS-richtlijn gepresenteerd, bekend als NIS-2. Deze richtlijn beoogt de beveiliging van toeleveringsketens te verbeteren door bedrijven te verplichten om cyberbeveiligingsrisico’s binnen hun toeleveringsketens en leveranciersrelaties te controleren. Het hoofddoel van NIS-2 is het verbeteren van de cyberbeveiliging van de toeleveringsketen voor essentiële informatie- en communicatietechnologieën op Europees niveau.

Inhoudsopgave

Wat is NIS 2.0 en wie zijn de belanghebbenden?

NIS staat voor Netwerk- en Informatiesystemen, en het vertegenwoordigt de eerste EU-wetgeving met betrekking tot cybersecurity. Momenteel is NIS 1 van kracht, een richtlijn die van toepassing is op essentiële bedrijven zoals water- en telecombedrijven. De opvolger, NIS 2.0, brengt een aanzienlijke verhoging van de cybersecurity-eisen met zich mee en is van toepassing op een breder scala van sectoren in heel Europa. In tegenstelling tot de eerdere richtlijn, richt NIS 2.0 zich niet alleen op grote organisaties. Deze nieuwe wetgeving heeft ook invloed op MKB-bedrijven die essentiële diensten leveren of die leveranciers zijn van deze essentiële diensten.

De NIS 2.0 richtlijn verdeelt organisaties in twee categorieën: ‘Essentieel’ en ‘Belangrijk’. Beide categorieën hebben dezelfde eisen op het gebied van informatiebeveiliging, maar verschillen in toezicht- en sanctieregelingen. Het is van cruciaal belang dat organisaties in beide categorieën voldoen aan de vastgestelde eisen om te zorgen voor een robuuste cybersecurity en om mogelijke sancties te voorkomen.

Wat vormt het fundament van NIS-2?

NIS-2 is gebouwd op drie beveiligingsprincipes:

  • Identificeren van beveiligingsrisico’s;
  • Beperken van risico’s door bescherming en detectie;
  • Het minimaliseren van de impact van cyberaanvallen.
 

Deze drie principes vormen nu de basis voor beveiligingseisen in vitale sectoren. Met de nieuwe eisen zal het aantal bedrijven dat binnen deze categorie valt, aanzienlijk toenemen. De richtlijn is ook van toepassing op aanbieders van cloudservices, ook wel bekend als Managed Service Providers zoals wij.

Welke stappen moeten ondernomen worden?

NIS-2 adviseert het nemen van passende en evenwichtige technische, operationele en organisatorische maatregelen. Deze maatregelen hebben tot doel om de beveiliging van netwerk- en informatiesystemen te beheren en om incidenten te voorkomen of de impact van incidenten voor de klanten van een mogelijk getroffen bedrijf te minimaliseren. Hierbij moet rekening worden gehouden met de huidige technologische standaarden en de relevante Europese en internationale normen, evenals de implementatiekosten.

Hier zijn de cruciale maatregelen die genomen moeten worden om te voldoen aan de NIS2-richtlijn:

  1. Grondige NIS2 Compliance Assessment: De eerste stap is het uitvoeren van een grondige beoordeling van de huidige cybersecurity-maatregelen van de organisatie. Deze beoordeling is bedoeld om zwakke plekken en gebieden van non-compliance met de NIS2-richtlijn te identificeren. Het is raadzaam om hierbij de expertise van externe cybersecurity-consultants in te schakelen om een objectieve evaluatie te garanderen.

  2. Implementatie van NIS2-compatibel Beveiligingskader: Op basis van de resultaten van de compliance-beoordeling moet de organisatie een NIS2-compatibel beveiligingskader ontwikkelen en implementeren. Dit omvat het vaststellen van interne regels, beleidslijnen en procedures die voldoen aan de vereisten van de NIS2-richtlijn. Het kan ook betrekking hebben op het versterken van de bestaande beveiligingsmaatregelen en het opstellen van een robuust incidentresponsplan.

  3. Aanwijzen van NIS2 Verantwoordelijken: Het is cruciaal om specifieke personen of teams binnen de organisatie aan te wijzen als verantwoordelijken voor het toezicht op de NIS2-naleving en het beheer van cybersecurity-incidenten. Deze aangewezen personen moeten goed op de hoogte zijn van de NIS2-richtlijn en in staat zijn om snel en adequaat te reageren op mogelijke bedreigingen.

  4. Regelmatige Monitoring en Beveiligingsupdates: Cyberdreigingen evolueren voortdurend, en het is van vitaal belang om de cybersecurity-inspanningen voortdurend te monitoren en bij te werken. Regelmatige interne audits, penetratietests en beveiligingsupdates zijn essentieel om te beoordelen of de beveiligingsmaatregelen nog steeds effectief zijn en om te kunnen inspelen op de steeds veranderende dreigingsomgeving.

  5. Samenwerking en Informatiedeling: De NIS2-richtlijn benadrukt het belang van samenwerking tussen organisaties en de overheid op het gebied van cybersecurity. Organisaties moeten openstaan voor het delen van relevante informatie over cyberdreigingen en incidenten met de juiste autoriteiten. Het opzetten van effectieve communicatiekanalen met overheidsinstanties kan de reactietijd bij cyberaanvallen verkorten en de impact ervan verminderen.

  6. Cybersecurity Bewustzijnstraining: Het menselijke element blijft een zwakke schakel in cybersecurity. Organisaties moeten hun medewerkers bewust maken van de risico’s en uitdagingen op het gebied van cybersecurity. Regelmatige cybersecurity bewustzijnstrainingen kunnen het personeel helpen potentiële gevaren beter te herkennen en te vermijden.

Waarom is risicomanagement zo cruciaal?

De maatregelen die worden genomen, moeten een beveiligingsniveau van de netwerk- en informatiesystemen waarborgen dat is afgestemd op de potentiële risico’s. Bij het overwegen van een te nemen maatregel moet rekening worden gehouden met de risico’s die een organisatie loopt, de omvang van de organisatie en de mogelijke maatschappelijke en economische gevolgen van een incident.

Wat is de deadline?

De nieuwe richtlijn werd gepubliceerd op 16 januari 2023 en de Europese lidstaten hebben tot 17 oktober 2024 de tijd om de noodzakelijke voorwaarden te implementeren en te publiceren om aan de richtlijn te voldoen. Op 18 oktober 2024 moet de richtlijn volledig operationeel zijn.

IT-beveiliging heeft altijd onze hoogste prioriteit gehad, dus we juichen het ontstaan van dergelijke richtlijnen toe en volgen ze nauwlettend om ervoor te zorgen dat we tijdig voldoen aan de eisen van deze nieuwe richtlijn.

Meer informatie over Cybersecurity?

Download dan hier gratis ons eBook voor meer informatie.

Download het gratis eBook:

Cybersecurity voor bedrijven

Meer lezen

copilot-prompting
Copilot

Microsoft 365 Copilot – de kunst en wetenschap van prompting

Prompting is hoe je Microsoft 365 Copilot vraagt om iets voor je te doen – zoals creëren, samenvatten, bewerken of transformeren. Denk bij prompting aan een gesprek voeren, waarbij je eenvoudige maar duidelijke taal gebruikt en context biedt, zoals je dat ook zou doen met een assistent. Er zijn veel soorten prompts die je kunt gebruiken, afhankelijk van de taak die je gedaan wilt hebben.

Lees meer...
copilot-studio
Copilot

Microsoft Copilot Studio

Microsoft Copilot Studio is een end-to-end AI-platform voor gesprekken waarmee u copilots kunt maken en aanpassen met behulp van natuurlijke taal of een grafische interface. Met Copilot Studio kunt u eenvoudig copilots ontwerpen, testen en publiceren die aansluiten op uw specifieke behoeften voor interne of externe scenario’s in uw branche, afdeling of rol.

Lees meer...
microsoft-archive
Eindgebruiker

Beheer uw verouderde gegevens met Microsoft 365 Archive

Vaak is het voor organisaties belangrijk om inactieve of verouderde gegevens gedurende langere tijd te bewaren voor toekomstig gebruik. Met Microsoft 365 Archive kunnen deze inactieve gegevens worden verplaatst naar een “koude opslaglaag” (archief) binnen SharePoint.

Lees meer...

Inschrijven voor de nieuwsbrief

Het laatste Microsoft 365 nieuws in jouw mailbox? Schrijf je dan nu in voor onze nieuwsbrief!