Drie maatregelen die organisaties nu al kunnen nemen in voorbereiding op NIS2

GDATA2

De nieuwe Europese cyberveiligheidswet – NIS2 - die op de tekentafel ligt, vereist actie van veel organisaties. De wet creëert een algemene cyberbeveiligingstandaard op Europees niveau voor bedrijven die (in)direct actief zijn in kritieke sectoren en ketens. Dat betekent dat een flink aantal bedrijven onder deze wetgeving zal vallen, terwijl veel organisaties zich hier mogelijk (nog) niet van bewust zijn.

En dat is een probleem, want er zijn aanzienlijke aanpassingen nodig om te voldoen aan de nieuwe standaard. Het overtreden van NIS2 kan organisaties duur komen te staan, reken op een boete ter hoogte van 2% van de (wereldwijde) omzet. Maar wat houdt de wet precies in en welke securitymaatregelen kunnen organisaties nu al nemen? G DATA CyberDefense geeft tips.
 
Nieuw: de zorg- en meldplicht
NIS2 is de tweede generatie van deze richtlijn en bestaat uit twee belangrijke elementen; de zorgplicht en de meldplicht. De zorgplicht stelt dat bedrijven overzicht moeten hebben over hun gehele infrastructuur: alle activiteiten op het netwerk moeten gemonitord worden. Tegelijkertijd zorgt de meldplicht ervoor dat organisaties alle cyberincidenten binnen 24 uur moeten melden. Daarnaast moet er binnen een maand een rapport beschikbaar zijn met de indicatoren en de ernst van het incident.
 
Aangezien de reikwijdte van de wet flink is toegenomen, treft de maatregel veel bedrijven. Denk bijvoorbeeld aan overheidsdiensten, service providers en bedrijven in de voedingsindustrie. De zorg- en meldplicht biedt een oplossing voor het versnipperde cybersecuritylandschap en zal de cyberveiligheid naar verwachting aanzienlijk verbeteren. Gezien de sterke toename van het aantal cyberaanvallen en hun toenemende schade is dat geen overbodige luxe.
 
Tijdig maatregelen nemen
Om hoge boetes en schade door cyberincidenten te voorkomen, is het zaak om de IT-infrastructuur vóór invoering van de wet op orde te hebben. Maar wat kun je nu al doen? Check of jouw bedrijf onder de nieuwe NIS2-wetgeving valt. Zo ja? Dan is het tijd voor actie. Wat kun je nu al doen?
 
1.      Inventariseer hoe het gesteld is met de cyberveiligheid binnen de organisatie. Wat zijn de huidige maatregelen en protocollen. Zijn de gegevens nog actueel? In hoeverre zijn werknemers op de hoogte? Worden er trainingen georganiseerd? Is er een crisisplan? NIS2 vereist de implementatie van tweefactorauthenticatie, bedrijfsbrede beveiligingstrainingen en risico- en calamiteitenmanagement. Er zullen regelmatiger audits plaatsvinden, het is dus zaak actie te ondernemen.
 
2.      Start met het opzetten van een Security Operation Center (SOC) om bedrijfsactiviteiten te monitoren. De implementatie hiervan kan eventueel worden uitbesteed, het kan namelijk erg kostbaar zijn om alle apparatuur hiervoor aan te schaffen en personeel hiervoor in te zetten. Uitbesteden is daarom zeker voor kleinere bedrijven een interessante optie. In elk geval is het belangrijk om op tijd te beginnen, het opzetten van een SOC is arbeidsintensief en het tijdsbestek is kort (uiterlijk 17 oktober 2024 wordt NIS2 van kracht).
 
3.      Voer regelmatige controles uit. NIS2 toetst geregeld de naleving van de wet. Om zeker te zijn dat alle maatregelen naar behoren werken, kunnen organisaties pentests uitvoeren waarmee zwakke punten aan het licht worden gebracht. Het is van belang dit regelmatig te doen gezien de strakke deadlines die de wetgeving hanteert.
 
Door nu al maatregelen te implementeren, zijn organisaties voorbereid op de daadwerkelijke invoering van de wet. Het lijkt een flinke investering, maar uiteindelijk tilt de wet cybersecurity binnen Europa naar een hoger niveau. En dat komt iedere organisatie ten goede.
 
Dossiers
Lees ook
Legian sluit zich als partner aan bij Samen Digitaal Veilig

Legian sluit zich als partner aan bij Samen Digitaal Veilig

Legian sluit zich als partner aan bij Samen Digitaal Veilig, een initiatief van MKB-Nederland en VNO-NCW, dat enkele jaren geleden is begonnen met ondersteuning van het ministerie van Justitie en Veiligheid en het ministerie van Economische Zaken en Klimaat

WatchGuard verstevigt MDR-dienstverlening met overname ActZero

WatchGuard verstevigt MDR-dienstverlening met overname ActZero

WatchGuard Technologies heeft ActZero overgenomen, een leverancier van Managed Detection & Response (MDR)-diensten. Dankzij de integratie van deze AI-gebaseerde oplossingen profiteren MSP’s van snellere en efficiëntere detectie en respons op securitydreigingen

Orange Cyberdefense: hackers versterken greep op OT-omgevingen

Orange Cyberdefense: hackers versterken greep op OT-omgevingen

Operationele technologie (OT)-omgevingen, zoals productiesystemen, waterzuiveringsinstallaties en energiecentrales, zijn steeds vaker het doelwit van hackers. Aanvallers nemen daarbij in toenemende mate de controle over, wat tot levensgevaarlijke situaties kan leiden. Deze trend vraagt dringend om een herziening van beveiligingsstrategieën en een1