Organisaties moeten zich gaan houden aan nieuwe richtlijnen als het gaat om informatiebeveiliging. Dit staat in de NIS2, de nieuwe wetgeving voor cybersecurity in de EU. Wat gaat er veranderen? En wat gebeurt er als zij zich niet aan de richtlijnen houden? Business Security Consultant Arno van Rijn legt het je allemaal uit in deze blog.
De NIS2 is een voortvloeisel van de NIS1, en betreft wetgeving over cybersecurity in Europa. Het doel is het verbeteren van de cyberbeveiliging weerbaarheid van essentiële diensten in EU-lidstaten. De NIS2 is een aanvulling op de eerder opgestelde regels, met nieuwe richtlijnen waar organisaties zich aan moeten houden om als ‘informatieveilig’ te worden gezien. “De nieuwe richtlijnen vullen de bestaande aan met een grotere focus op ketenbeveiliging en de toelevering van vitale infrastructuren en essentiële diensten”, vertelt Arno. “Het doel is om de digitale weerbaarheid te verhogen en dat bedrijven worden aangemoedigd om te denken aan de beveiligingsmaatregelen. De NIS2 moet ervoor gaan zorgen dat de cyberweerbaarheid standaard gewaarborgd wordt.”
“Val jij als organisatie niet direct onder de NIS2, maar heb jij wel afnemers die onder de NIS2 vallen? De kans is dan groot dat je indirect toch met de NIS2 te maken krijgt. Zij kunnen namelijk verlangen van jou dat je voldoet aan de NIS2, in het kader van de ketenveiligheid.”
“Het was hoog tijd dat de richtlijnen werden aangescherpt”, zegt Arno. “Ik doe regelmatig assessments bij klanten en dan zie ik toch vaak dat essentiële beleidsbepalingen en beveiligingsmaatregelen nog ontbreken. De beveiligingssituaties die ik tegenkom bij grote bedrijven is nog regelmatig schrikken geblazen. De organisaties hebben nog te weinig inzicht in het dreigingslandschap en de risico’s dat het met zich meebrengt.”
Een voorbeeld van zo’n risico is dat een IT-omgeving door een ransomware-aanval volledig onbeschikbaar kan worden gemaakt, en de bedrijfsvoering hierdoor stil komt te liggen. Momenteel gebeurt dat nog wekelijks, zoals regelmatig voorbij komt in het nieuws. “Niet alleen de beheerders van de netwerken spelen hier een rol in. Er heerst ook een gebrek aan kennis bij de gebruikers. Bijvoorbeeld om phishingmails te herkennen.”
Binnen de NIS2 moeten organisaties aan een aantal maatregelen voldoen. Dit zijn redelijke algemene richtlijnen, zodat het over vijf of tien jaar ook nog van toepassing is. Denk bijvoorbeeld aan het updaten van applicaties, het toepassen van tweestapsverificatie en het periodiek toetsen van rechten en autorisatie.
“De organisaties hebben redelijk wat vrijheid om zelf invulling aan de richtlijnen te geven.De meeste vernieuwing voor organisaties zit hem vooral in de nieuwe plicht om essentiële leveranciers op adequate manier te beoordelen. Ze moeten hierbij kijken naar informatieveiligheid, continuïteit. Daarnaast dienen organisaties jaarlijks een risicobeoordeling, en op basis van de uitkomst maatregelen te nemen. Dat hele pakket moet ervoor zorgen dat de beveiliging doorlopend wordt opgeschroefd”, zegt Arno.
“De grootste uitdaging is dat veel bedrijven niet weten wat informatiebeveiliging inhoudt”, zegt Arno. “Men verdiept zich niet in het dreigingslandschap, weten niet op welke onderdelen men risico loopt en hebben daardoor de basishygiëne niet goed op orde. Dat is ook wat ik tegenkom in mijn werk. Het is belangrijk voor mij om de klant op de hoogte te brengen, en inzicht te geven. Zijn we kwetsbaar, hebben we genoeg geïmplementeerd en waarmee moeten we aan de slag? Op deze vragen geef ik antwoord”
Sommige bedrijven voldoen al aan de ‘nieuwe’ maatregelen, andere bedrijven moeten nog beginnen met het verbeteren van hun cybersecurity. Arno kan zich goed voorstellen dat sommige organisaties niet weten waar ze moeten beginnen. “Mijn advies, ook naar mijn klanten als consultant, is beginnen met een 0-meting. Beoordeel eens opnieuw welke maatregelen zijn geïmplementeerd en welke risico’s van toepassing zijn. Onderzoek of er risicobeoordeling wordt uitgevoerd en of er een IT-beleid is. Vergeet in deze fase ook niet om te denken aan de kennis onder de medewerkers. Awareness is belangrijk, Informatiebeveiliging gaat over de mens, de organisatie en de techniek!”
De opgestelde richtlijnen staan nog in de beginfase van de uitvoering, maar dat verandert in 2024, dan zal er worden gehandhaafd. “Wie dat precies gaat doen is nog onduidelijk, daar komen we volgend jaar achter. Maar wat wel bekend is, is dat wanneer je als bedrijf te maken krijgt met een beveiligingsincident, er een onderzoek kan komen. Als hierin naar boven komt dat je nalatig bent geweest in de beveiliging, dan kan er een boete volgen. Hierbij worden de bestuurders van de organisatie aansprakelijk gesteld, ze zullen het dus persoonlijk voelen in de bestuurskamer.”
Voor de bedrijven die niet weten waar ze moeten beginnen, maar wel graag een begin willen maken heeft Arno een advies. “Inventariseer eens wat kritieke applicaties, systemen en leveranciers zijn voor je organisatie en zet die eerst eens in een lijst, waarschijnlijk is deze lijst al aanwezig in de vorm van een verwerkersregister welke verplicht is onder de Algemene Verordening Persoonsgegevens”
Begin daarna met je leveranciers wat vragen te stellen. Zijn ze gecertificeerd en kijken ze naar de NIS2? Jouw systemen en kritieke applicaties? Hebben deze wel twee-trap verificatie, hoe is de back-up geregeld en wie mag er eigenlijk inloggen, welke rechten zijn er verstrekt? Om antwoord te geven op deze vragen heb je op een vrij eenvoudige manier al meer inzicht in je informatieveiligheid.
Volgend jaar wordt meer duidelijk over de NIS2-richtlijnen. Voor nu is het vooral goed dat organisaties wakker worden geschud, vertelt Arno. “Er gaat nog te veel fout. Ik roep organisaties op om onderzoek te doen en een verbeterplan op te stellen. Bij Infradax helpen we je daar graag mee.”
Wil je meer weten over hoe je jouw bedrijf beter kan beveiligen? Onze cybersecurity experts staan klaar om jou te ondersteunen bij de NIS2 en een betere digitale weerbaarheid.
Geïnteresseerd?
Heb je nog vragen over de NIS2 of iets anders op het gebied van cybersecurity? Onze cybersecurityspecialisten staan je graag te woord! Laat je gegevens achter in dit contactformulier zodat we contact met je kunnen opnemen.
* Verplicht in te vullen
