Aftellen naar NIS2: Is jouw organisatie klaar voor de strengere cybersecurity-eisen?
Het aftellen is begonnen. Op 18 oktober treedt NIS 2, de vernieuwde Europese wetgeving voor netwerk- en informatiebeveiliging, in werking. Deze update van de Network and Information Systems Directive (NIS1) uit 2016 legt strengere eisen op aangaande cybersecurity en breidt de verplichtingen uit naar een groter aantal sectoren. Belangrijke onderdelen zijn de zorgplicht (het nemen van beveiligingsmaatregelen) en de meldplicht (het rapporteren van incidenten). In Nederland wordt de NIS2-richtlijn in de vorm van de Cyberbeveiligingswet geïmplementeerd.
Adoptieproces
Verschillende Europese landen hebben de NIS2-richtlijn tijdig omgezet in hun nationale wetgeving. In België is bijvoorbeeld het Koninklijk Besluit ter uitvoering van de wet van 26 april 2024, die een kader vaststelt voor de cybersecurity van netwerken en informatiesystemen van algemeen belang voor de openbare veiligheid, inmiddels gepubliceerd in het Belgisch Staatsblad. Dat is niet het geval in Nederland. In januari 2024 kondigde de Nederlandse Minister van Justitie en Veiligheid aan dat het de implementatiedeadline niet zal halen. Van mei tot juli 2024 vond de internetconsultatie van de Cyberbeveiligingswet plaats. Betrokken partijen konden reageren op de voorgestelde wetgeving. Op dit moment worden de reacties uit de internetconsultatie geëvalueerd. Deze consultatieronde vormt slechts één van de noodzakelijke stappen in het adoptieproces. Vervolgens worden de wetsvoorstellen voorgelegd aan de Afdeling advisering van de Raad van State, waarna ze aan de Kamer worden aangeboden.
Uit een onderzoek van Veeam, deels uitgevoerd in België en Nederland, blijkt dat 90% van de bedrijven in de EMEA-regio de afgelopen jaren te maken heeft gehad met cybersecurity-incidenten die door naleving van NIS2 voorkomen konden worden. Hoewel 80% van de organisaties vertrouwen heeft dat ze kunnen voldoen aan NIS2, verwacht twee derde de deadline niet te halen. Volgens het Digital Trust Center van Het Ministerie van Economische Zaken en Klimaat, onderneemt één derde van de kleine bedrijven geen enkele actie om veilig online te zijn. Veel medewerkers zijn bovendien nog onbekend met de NIS2-richtlijn.
Stap voor stap
Het is essentieel voor organisaties om zich te informeren en zich voor te bereiden op naleving, ongeacht of er een nationale toezichthouder is. Hier zijn de tien cruciale stappen die organisaties moeten nemen:
- Beoordeel de toepasselijkheid van NIS2: Bepaal of je bedrijf onder NIS2 valt door te evalueren of het in kritieke infrastructuursectoren opereert en voldoet aan de gespecificeerde grootte- en omzetcriteria.
- Informeer het management over NIS2: Informeer zowel het management als jezelf over de richtlijnen en mogelijke sancties die verbonden zijn aan NIS2.
- Voer een netwerkbeveiliging-inventarisatie uit: Evalueer je huidige beveiligingsmaatregelen, bewustzijn van medewerkers en risicobeheerprocedures.
- Vergelijk met NIS2-specificaties: Stem je bestaande beveiligingsmaatregelen af op de tien NIS2-eisen, die onder andere risicoanalyse, incidentbeheer en beveiliging van de supply chain omvatten.
- Plan noodzakelijke uitgaven: Schat het budget dat nodig is om eventuele noodzakelijke acties te implementeren om aan de NIS2-normen te voldoen.
- Stel incidentresponsprotocollen op: Ontwikkel een noodteam voor netwerkbeveiliging en zorg voor tijdige en nauwkeurige incidentrapportage in overeenstemming met de NIS2-vereisten.
- Verbeter de netwerkbeveiliging: Implementeer veilige netwerktechnologieën, toegangscontroles en versleuteling om je netwerk te versterken tegen cyberdreigingen.
- Zorg voor bedrijfscontinuïteit: Creëer robuuste crisis- en herstelplannen om de operaties tijdens verstoringen voort te zetten en gegevensverlies te voorkomen.
- Versterk de digitale soevereiniteit: Beoordeel en verbeter de digitale autonomie van je organisatie om veerkracht te waarborgen tegen externe afhankelijkheden.
- Maak gebruik van samenwerking en ondersteuning: Gebruik geavanceerde beveiligingstools zoals next-generation firewalls en cloud-managed securityoplossingen, en profiteer van trainings- en ondersteuningsdiensten om de cybersecurity te versterken.
Voor extra hulp bij het beoordelen van de NIS2-naleving en het begrijpen van de implicaties, kunnen organisaties gebruikmaken van bronnen zoals de NIS2 Quickscan, beschikbaar gesteld door de Rijksoverheid.
Door deze tien stappen te volgen en een diepgaand begrip te ontwikkelen van de kernbepalingen van NIS2, kunnen organisaties voldoen aan de vereisten en een aanzienlijke bijdrage leveren aan een veerkrachtiger en veiliger digitaal landschap binnen de EU.
Jessica Strobl, Sales Manager Netherlands bij LANCOM Systems
Dossiers
Meer over
Lees ook
De naderende NIS2-deadline: dit is wat je moet weten
De implementatiedeadline van NIS2 staat op 17 oktober en nadert dus snel. Nederland voert deze richtlijn in als Cybersecuritywet (Cbw). Carl Leonard, Cybersecuritystrateeg bij Proofpoint voor de EMEA-regio, gaat verder in op de implementatie van NIS2 en de impact op organisaties die aan de nieuwe maatregelen moeten voldoen.
Lancering NIS2 Quality Mark-keurmerk
Vandaag is officieel het NIS2 Quality Mark in Europa gelanceerd. Dit in Nederland ontwikkelde keurmerk biedt mkb-bedrijven in Europa de mogelijkheid te voldoen aan de Europese NIS2-cybersecuritywetgeving, zonder het risico dat zij zich hierbij overkwalificeren. Het keurmerk waarborgt de positie van (mkb-) ondernemingen in de toeleveringsketen.
Hoe de NIS2 de Impact van de mislukte CrowdStrike-update had kunnen verminderen… of vergroten
Afgelopen maand leidde een mislukte update van de CrowdStrike-software tot aanzienlijke problemen wereldwijd. Het incident, dat werd bestempeld als de grootste IT-storing ooit en maakte miljoenen Windows-apparaten onbruikbaar. Op basis van de 4 miljoen crash rapportages die Microsoft ontving op 19 juli, schatte Microsoft dat in totaal ongeveer 8,51