Over de impact van de aangescherpte, hernieuwde wetgeving op het gebied van cybersecurity
Network and Information Security directive. Een hele mond vol en de meeste lezers zal het in deze benaming niet veel zeggen. Maar misschien gaat er bij de afkorting, NIS2 of ook wel NIB2, wel een lampje branden. Halverwege dit jaar ging de Europese Commissie akkoord met fors aangescherpte, hernieuwde wetgeving op het gebied van cybersecurity. Deze richt zich op risico’s die netwerk- en informatiesystemen bedreigen, waaronder cyberbeveiligingsrisico’s en geldt voor sectoren die ook al onder de eerdere NIS-richtlijn vielen. Maar ook zijn er een aantal nieuwe sectoren toegevoegd. Lever je als organisatie ‘essentiële diensten’, dan moet je voldoen aan de nieuwe securityrichtlijnen van NIS2. Onze specialist op het gebied van onder andere security, Hendry Scholing, vertelt je in deze blog meer over de impact, het belang en de uitvoering van NIS2 voor jouw organisatie.
Valt jouw organisatie onder de NIS2-richtlijn?
Alle al eerder onder de eerste NIS-richtlijn vallende sectoren vallen automatisch ook onder de nieuwe NIS2-richtlijn. Dat betreft organisaties werkzaam in de volgende sectoren: Afvalstoffenbeheer, Gezondheidszorg, Levensmiddelen, Drinkwater, Chemische stoffen, Digitale infrastructuur, Onderzoek, Afvalwater, Vervaardiging/manufacturing, Overheidsdiensten, Ruimtevaart, Beheerders van ICT-diensten en Bankwezen. Vanuit de NIS2 worden daar ook organisaties werkzaam in sectoren Energie, Digitale aanbieders, Transport, Post- en Koeriersdiensten en Infrastructuur financiële markt aan toegevoegd. Maar ook organisaties met meer dan 250 werknemers óf met een jaaromzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen.
Maar wat zegt die NIS2-richtlijn nou eigenlijk?
Er wordt in de nieuwe richtlijn specifiek toegespitst op drie verplichtingen; zorgplicht, meldplicht en toezicht. De zorgplicht verplicht jouw organisatie om zelf een risicobeoordeling te doen en op basis daarvan passende maatregelen te nemen. Dit om geboden diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen. De meldplicht schrijft voor dat incidenten, die de verlening van de essentiële dienst sterk (kunnen) verstoren, binnen 24 uur gemeld worden bij de toezichthouder. Betreft het een cyberincident, dan meld je deze ook bij het Computer Security Incident Response Team (CSIRT) dat jou hulp en ondersteuning kan leveren. Valt jouw organisatie onder de richtlijn, dan kom je automatisch onder toezicht te staan. Een onafhankelijk toezichthouder kijkt dan naar de naleving van de verplichtingen uit de richtlijn.
Help?! Wat moet ik doen?
Het eerste advies dat we je willen geven? Blijf rustig, maar begin nu wel echt met het opstellen van een actieplan. Het is tenslotte zo oktober 2024. Een eerste stap is het in kaart brengen van je huidige securityvolwassenheid. Wat heb je eigenlijk al geregeld en waar moet aandacht op gevestigd worden? Een CIS Controls assessment, uitgevoerd door de securityspecialisten van Unica ICT Solutions, kan hierbij helpen. In een duidelijk rapport wordt helder waar je nu staat in jouw securityvolwassenheid en waar je jouw aandacht op moet vestigen. Aangezien een cybersecurityplan vooral gaat over het inzichtelijk krijgen van alle apparatuur die mogelijk onveilig kan zijn, is het van groot belang grip te krijgen op al je assets. Wat heb je aangesloten in je netwerk en hoe communiceren deze apparaten? Waar slaan ze hun data op en hoe heb je deze data vervolgens beschermd? Als dit allemaal bekend is, kunnen daar acties op worden uitgezet.
Een ander belangrijk punt om mee aan de slag te gaan is de signalering van het moment dat het mis dreigt te gaan. Draag er zorg voor dat logging vanuit je securityoplossing wordt verzameld in een SIEM, zoals bijvoorbeeld Microsoft Sentinel. Maar het verzamelen daarvan is één, een correcte opvolging op de meldingen is minstens zo belangrijk. Voor een gemiddeld MKB-bedrijf is dit echter vaak niet eenvoudig te realiseren. Maak daarom gebruik van een Security Operating Center, waar 24/7 securityalarmen in de gaten gehouden worden en waar nodig direct op geacteerd. Door deze opvolging ben je zelf in control en kan er binnen de gestelde 24 uur een melding worden gemaakt bij CSIRT (Computer Security Incident Response Teams).
Maak gebruikers bewust van security
Als laatste advies willen we je graag meegeven dat jouw organisatie vandaag nog aan de slag kan gaan. Dit door security onder de aandacht te brengen van de gebruikers, maar deze aandacht ook vooral te houden. Door gebruikers proactief te adviseren wat er zoal kan gebeuren en dit aanvullend te toetsen door bijvoorbeeld een phisingcampagne te starten, kan er gevolgd worden of de security awareness bij gebruikers toeneemt. Maar ook kunnen daarmee de risico’s dat een zogenaamde malwarebesmetting of sphere phising aanval via e-mail binnenkomt tot een minimum beperkt worden. Door alle voortgang van campagnes te loggen blijf je een actueel inzicht houden in hoeverre jouw collega’s kritischer worden bij het werken met e-mail en kun je zelf altijd bijsturen waar nodig.
Houd het overzichtelijk
Door je ondernomen acties op het vlak van security te registreren en hierop ook de verdere doorontwikkeling vast te leggen, kun je bij de toezichthouder aannemelijk maken dat je als organisatie de noodzakelijke acties hebt ondernomen op het vlak van cybersecurity. Zo blijft het invulling geven aan de NIS2 overzichtelijk. Onze specialisten kunnen je hierbij helpen, door het leveren van diverse diensten zoals de uitvoer van een CIS Controls Assessment, consultancy en diverse diensten vanuit ons Security Operations Center.
Start je reis
Waar je ook voor kiest, onthoudt dat security in basis nooit het implementeren van een product of dienst is, maar een reis. Het is net als het lezen van een ANWB-fietsknooppuntbord: je weet waar je nu staat en waar je graag naar toe wilt. De knooppunten die je moet fietsen om hier te komen kies je zelf. Wacht in ieder geval niet langer met het uitstippelen van de reis naar het eerste knooppunt van je NIS2-reis, je eindpunt moet je tenslotte in oktober 2024 bereikt hebben. Uiteraard fietsen wij, de specialisten van Unica ICT Solutions, graag met je mee. Hoever we dat doen is volledig aan jou! Neem eenvoudig contact met ze op via onderstaand contactformulier.
Checken of jouw organisatie moet voldoen aan NIS2?
Grijp in met de juiste beveiligingsmaatregelen
Hoe zorg je er als organisatie voor dat jouw medewerkers op veilige wijze (vertrouwelijk) kunnen e-mailen, jouw netwerk optimaal beveiligd blijft en jouw ICT-omgeving 24/7 van monitoring op dreigingen voorzien is met Managed Detection & Response (MDR)? Wens je meer informatie over deze onderwerpen, gebruik dan de knoppen hieronder of neem direct contact op met onze securityspecialisten.
Over Hendry
Hendry is al jarenlang één van de specialisten bij Unica ICT Solutions als het gaat om Networking en Security. Met zijn enthousiasme en kennis geeft hij, vanuit zijn rol als Business Manager Digital Security & Networking, dagelijks advies aan de meest uiteenlopende organisaties, groot of klein. Hij deelt zijn jarenlange deskundigheid graag met zijn collega’s en onze klanten en ondersteunt als adviseur ook bij het realiseren, onderhouden en beveiligen van netwerkinfrastructuren. Maar ook alles wat er bij een goede security van een organisatie komt kijken. Nu de infrastructuren het fundament worden voor elke organisatie waarop diensten zoals Microsoft Office365 worden geconsumeerd en ook slimme technologie wordt gekoppeld, is de beschikbaarheid maar ook beveiliging van deze infrastructuren van cruciaal belang. Gebruikers verwachten altijd en overal connectiviteit te hebben, zodat bedrijfsprocessen zo optimaal en veilig gefaciliteerd kunnen worden. Als Solution Specialist op het vlak van connectivity en IoT geeft hij een nuchter advies om de optimale, beveiligde en beheersbare infrastructuur voor onze klanten te kunnen realiseren.