Drie maatregelen die organisaties nu al kunnen nemen in voorbereiding op NIS2

  1. 29 aug 2023
  2. 0 reacties

GDATA2

De nieuwe Europese cyberveiligheidswet – NIS2 - die op de tekentafel ligt, vereist actie van veel organisaties. De wet creëert een algemene cyberbeveiligingstandaard op Europees niveau voor bedrijven die (in)direct actief zijn in kritieke sectoren en ketens. Dat betekent dat een flink aantal bedrijven onder deze wetgeving zal vallen, terwijl veel organisaties zich hier mogelijk (nog) niet van bewust zijn.

En dat is een probleem, want er zijn aanzienlijke aanpassingen nodig om te voldoen aan de nieuwe standaard. Het overtreden van NIS2 kan organisaties duur komen te staan, reken op een boete ter hoogte van 2% van de (wereldwijde) omzet. Maar wat houdt de wet precies in en welke securitymaatregelen kunnen organisaties nu al nemen? G DATA CyberDefense geeft tips.
 
Nieuw: de zorg- en meldplicht
NIS2 is de tweede generatie van deze richtlijn en bestaat uit twee belangrijke elementen; de zorgplicht en de meldplicht. De zorgplicht stelt dat bedrijven overzicht moeten hebben over hun gehele infrastructuur: alle activiteiten op het netwerk moeten gemonitord worden. Tegelijkertijd zorgt de meldplicht ervoor dat organisaties alle cyberincidenten binnen 24 uur moeten melden. Daarnaast moet er binnen een maand een rapport beschikbaar zijn met de indicatoren en de ernst van het incident.
 
Aangezien de reikwijdte van de wet flink is toegenomen, treft de maatregel veel bedrijven. Denk bijvoorbeeld aan overheidsdiensten, service providers en bedrijven in de voedingsindustrie. De zorg- en meldplicht biedt een oplossing voor het versnipperde cybersecuritylandschap en zal de cyberveiligheid naar verwachting aanzienlijk verbeteren. Gezien de sterke toename van het aantal cyberaanvallen en hun toenemende schade is dat geen overbodige luxe.
 
Tijdig maatregelen nemen
Om hoge boetes en schade door cyberincidenten te voorkomen, is het zaak om de IT-infrastructuur vóór invoering van de wet op orde te hebben. Maar wat kun je nu al doen? Check of jouw bedrijf onder de nieuwe NIS2-wetgeving valt. Zo ja? Dan is het tijd voor actie. Wat kun je nu al doen?
 
1.      Inventariseer hoe het gesteld is met de cyberveiligheid binnen de organisatie. Wat zijn de huidige maatregelen en protocollen. Zijn de gegevens nog actueel? In hoeverre zijn werknemers op de hoogte? Worden er trainingen georganiseerd? Is er een crisisplan? NIS2 vereist de implementatie van tweefactorauthenticatie, bedrijfsbrede beveiligingstrainingen en risico- en calamiteitenmanagement. Er zullen regelmatiger audits plaatsvinden, het is dus zaak actie te ondernemen.
 
2.      Start met het opzetten van een Security Operation Center (SOC) om bedrijfsactiviteiten te monitoren. De implementatie hiervan kan eventueel worden uitbesteed, het kan namelijk erg kostbaar zijn om alle apparatuur hiervoor aan te schaffen en personeel hiervoor in te zetten. Uitbesteden is daarom zeker voor kleinere bedrijven een interessante optie. In elk geval is het belangrijk om op tijd te beginnen, het opzetten van een SOC is arbeidsintensief en het tijdsbestek is kort (uiterlijk 17 oktober 2024 wordt NIS2 van kracht).
 
3.      Voer regelmatige controles uit. NIS2 toetst geregeld de naleving van de wet. Om zeker te zijn dat alle maatregelen naar behoren werken, kunnen organisaties pentests uitvoeren waarmee zwakke punten aan het licht worden gebracht. Het is van belang dit regelmatig te doen gezien de strakke deadlines die de wetgeving hanteert.
 
Door nu al maatregelen te implementeren, zijn organisaties voorbereid op de daadwerkelijke invoering van de wet. Het lijkt een flinke investering, maar uiteindelijk tilt de wet cybersecurity binnen Europa naar een hoger niveau. En dat komt iedere organisatie ten goede.
 
Dossiers
Meer over
Lees ook

Gartner: '30 procent van alle bedrijven gebruikt in 2016 mobiele biometrische beveiliging'

30 procent van alle bedrijven gebruikt in 2016 biometrische beveiliging om mobiele apparaten te beveiligen. Deze vorm van beveiliging gaat smartphones en tablets op de werkvloer aanzienlijk veiliger maken. Dit voorspellen Ant Allan en John Girard, twee analisten van onderzoeksbureau Gartner. Allerlei mobiele apparaten worden op dit moment op de werkvloer gebruikt. Het beveiligingsniveau is echter op de verschillende apparaten zeker niet gelijk. Gartner stelt dat laptops doorgaans goed zijn beveiligd, maar de beveiliging van smartphones en tablets het doorgaans laat afweten. Dit terwijl laptop1

Cybercriminelen doen valse belastingaangiftes

Cybercriminelen doen valse belastingaangiftes

Heb jij je belastingaangifte voor dit jaar al ingevuld? Het blijkt verstandig te zijn hier niet te lang mee te wachten. Cybercriminelen proberen namelijk valse aangiftes te doen in andermans naam, waarin zij claimen een flinke som geld van de overheid terug te krijgen. Dit geld wordt uiteraard niet naar de rekening van het slachtoffer, maar naar h1

Van phishing verdachte student wordt toch uitgeleverd aan VS

Van phishing verdachte student wordt toch uitgeleverd aan VS

De 24-jarige Vietnamese student die wordt verdacht in een grote phishingzaak wordt toch door Nederland aan de Verenigde Staten (VS) uitgeleverd. Dit heeft het gerechtshof in Den Haag betaald. De student is verdachte in een grootschalige phishingzaak waarbij cybercriminelen maar liefst 788.000 euro wisten buit te maken. Daarnaast wordt de man ook v1