NIS2, de nieuwe norm in cybersecurity, voor een veilige digitale toekomst van jouw bedrijf BLOG

NIS2, de nieuwe norm in cybersecurity, voor een veilige digitale toekomst van jouw bedrijf

Hoe vernuftiger de techniek, hoe slimmer de criminelen die deze gebruiken en hoe groter de potentiële schade is voor jouw bedrijf en de samenleving. Cybersecurity is geen optie meer, maar absolute noodzaak. Voor alles en iedereen. Logisch dus, dat wetten en regels omtrent cybersecurity ook uitbreiden. En wel in de vorm van NIS2: de nieuwe Europese richtlijn om de beveiliging van netwerken en informatiesystemen te waarborgen. Hoe zit het met de digitale weerbaarheid van jouw organisatie? Ben jij al klaar voor NIS2?
In deze blog ontdek je wat NIS2 inhoudt, wie ermee te maken krijgt en waarom de wet voor jou belangrijk is. De volgende blog in deze tweedelige reeks bevat praktische handvatten die je helpen de juiste maatregelen te nemen. En voor wie zich nóg beter wil voorbereiden op een cyberveilige toekomst, organiseren we op 5 oktober het gratis webinar NIS2 in de praktijk.

Word cyberrisico’s de baas met NIS2

‘Eind jaren ‘90. ‘Eind jaren ‘90. Het internet was nog een Wild Westen en voor beveiliging was nog erg weinig aandacht. Dat was niet erg, de risico’s waren nog niet zo groot. Ik studeerde informatica en werkte daarnaast als IT-beheerder. Binnen no-time had ik een koppeling naar mijn thuisnetwerk gelegd, zodat ik op mijn werk ook bij mijn data van thuis kon. Authenticatie was amper nodig en versleuteling al helemaal niet. Laat staan een firewall die naar de inhoud van het verkeer keek. Althans, dat dacht ik. Maar na een tijdje merkte ik dat er toch pogingen gedaan werden om bij mijn data te komen. Op dat moment begon het kat-en-muis-spel dat de rest van mijn carrière zou vormen.’

‘Tegenwoordig is cybersecurity een must. Binnen 5 minuten zijn je systemen gecompromitteerd en moet je je in allerlei bochten wringen om de boel weer veilig te stellen. Er is serieus geld te verdienen op de datamarkt en zelfs cyberaanvallen omwille van geo-politiek zijn aan de orde van de dag. We zitten wereldwijd in een continue wedloop waar we waarschijnlijk nooit klaar mee zullen zijn. Ik zie het als mijn taak om organisaties te helpen op een betaalbare manier de risico’s te beperken door een adequate beveiliging op te zetten.’

– Mark-Peter van Rijn, directeur UNO

Wat is NIS2?

NIS2 is de herziene Network and Information Security Directive van de EU. De richtlijn is een reactie op de snelle digitalisering en de daarmee gepaard gaande groeiende dreiging van cyberaanvallen. Met NIS2 verplicht de EU organisaties maatregelen te nemen, om zo een hoog en uniform niveau van beveiliging voor netwerken en systemen te handhaven.
De richtlijn is van kracht sinds 16 januari 2023, maar EU-bedrijven hebben tot 17 oktober 2024 om zich aan te passen aan de nieuwe normen. Best prettig, want ten opzichte van zijn voorganger omvat NIS2 strengere regels en duidelijkere eisen voor een breder palet aan bedrijfssectoren.

Waarom NIS2?

Cybercriminelen worden steeds professioneler en organisaties alleen maar meer kwetsbaar voor cyberaanvallen. Hierdoor komt je bedrijfscontinuïteit in het geding en loop je risico op reputatieschade. Hoewel NIS2 nog niet voor iedereen een verplichting is, is cybersecurity een basisvoorwaarde voor elk bedrijf. De intentie om te voldoen aan de wet- en regelgeving van NIS2 zou niet moeten worden ingegeven door mogelijke boetes, maar door de wens om als bedrijf toekomstbestendig te zijn.
Mark-Peter van Rijn

‘Door cybersecurity goed te borgen, borg je tegelijkertijd de continuïteit van je bedrijf. Het is eigenlijk een hygiënefactor, want je beschermt gegevens, privacy en systemen van jou als organisatie, je klanten en de hele keten. Cybersecurity dient het ecosysteem en daarmee onze hele maatschappij. NIS2 is dan ook voor iedereen van belang.’

Voor wie geldt NIS2?

NIS2 gaat verder dan zijn voorganger door meer sectoren, waaronder ook overheidsdiensten, onder de regelgeving te stellen en de beveiligingseisen in heel Europa te verhogen. Er zijn 11 zogenoemde ‘essentiële entiteiten’ die verplicht zijn te voldoen aan de NIS2-richtlijnen omdat ze van vitaal belang zijn voor onze samenleving. Daarnaast zijn er 7 ‘belangrijke entiteiten’ die deze verplichting ook hebben omdat de essentiële entiteiten voor hun veiligheid en continuïteit van hen afhankelijk zijn.
Organisaties zijn zelf verantwoordelijk voor het beheersen van hun risico’s, ook de risico’s vanuit de keten. Als je leverancier bent van grondstoffen, producten of personeel aan een essentiële of belangrijke entiteit, moet je je ook houden aan NIS2. Dit maakt de richtlijnen een ketenverantwoordelijkheid.

Advies MKB en middelgrote ondernemingen: aan de bak

In een aantal sectoren geldt dus dat organisaties vanaf oktober 2024 verplicht zijn zich aan de nieuwe wet- en regelgeving te houden. Wie echter slim is, is zijn tijd voor en gaat nu aan de slag met NIS2, ongeacht in welke sector je werkt of welk formaat jouw bedrijf heeft. Goede cybersecurity is niet alleen van wezenlijk belang voor multinationals, maar juist ook voor het Midden- en Kleinbedrijf en middelgrote ondernemingen.
Cybercriminelen weten dat zij niet altijd de mensen en de middelen hebben om de veiligheid maximaal te borgen en dat maakt hen juist kwetsbaar. En hoe verder je achterloopt, hoe moeilijker het wordt om de afstand in te halen. Want de techniek ontwikkelt door, richtlijnen worden wetten en het aantal sectoren dat zich daaraan moet houden, neemt alleen maar toe. Als MKB’er en als middelgroot bedrijf doe je er dus verstandig aan het voortouw te nemen.
Mark-Peter van Rijn

‘NIS2 maakt het niet makkelijk voor organisaties. Strikte regels en rigide systemen staan er niet om bekend dat ze je bedrijfsprocessen versoepelen. Het is vaak schipperen op een schaal tussen perfect compliant en maximaal gebruiksgemak. Het is echter cruciaal dat je diensten en gevoelige informatie beschermd blijven, dus wij raden iedereen aan de cyberveiligheid te optimaliseren.’

De NIS2-richtlijnen en hoe hieraan te voldoen

Het Nationaal Cyber Security Centrum verdeelt de Europese richtlijnen vanuit NIS2 onder in 3 verplichtingen. Als organisatie heb je een zorgplicht en meldplicht en sta je onder toezicht van nationale autoriteiten.

  1. Zorgplicht: een lijst van minimale maatregelen waar je aan moet voldoen. Denk aan cryptografie en versleuteling of crisismanagement bij een incident
  2. Meldplicht: je bent verplicht een incident binnen 24 uur na constatering te melden en binnen een maand op te volgen met een uitgebreid rapport.
  3. Toezicht: controle en handhaving, maar ook bevordering van samenwerking en ondersteuning aan organisaties om hun cybersecurity te verbeteren.
Om aan deze plichten te voldoen is het raadzaam om je digitale slagvaardigheid integraal te benaderen, dat wil zeggen vanuit strategisch, technisch en functioneel oogpunt. Op strategisch niveau vraagt dit om toewijding van het management. Tegelijkertijd moet de techniek op orde zijn en is binnen het team een bepaald kennisniveau nodig om te kunnen handelen naar de richtlijnen. De kracht zit in de combinatie van deze drie pijlers.
Mark-Peter van Rijn
‘Stel je voor dat je ondanks alle maatregelen toch bent geconfronteerd met een serieus beveiligingsincident. Je data is in handen gekomen van cybercriminelen en ze eisen veel geld. Eenmaal de schok te boven zullen jij en je team jullie afvragen waar het mis ging. De bron van het probleem is altijd strategisch, technisch of functioneel van aard of een combinatie daarvan. Door een sterk beleid te hanteren, de techniek goed in te richten én je mensen te trainen, voorkom je dat dit soort dingen gebeuren.’

Strategische maatregelen

NIS2 vereist dat je een goed informatiebeveiligingsbeleid definieert en implementeert. Dat betekent procedures en protocollen voor risicobeoordeling, risicobeheer en voor het melden en afhandelen van beveiligingsincidenten. Met beleid borg je de naleving van wet- en regelgeving in duidelijke verantwoordelijkheden en verantwoordingslijnen voor het beheer van netwerken en informatiesystemen. Evalueer het beleid regelmatig en schaaf het bij indien nodig, omdat zowel de techniek als de beveiligingsbehoeften en de regelgeving aan verandering onderhevig zijn. In de volgende blog gaan we dieper in op de strategische maatregelen op beleidsniveau.

Technische maatregelen

Een NIS2-beveiligingniveau behaal je door passende technische en organisatorische maatregelen te implementeren. Firewalls, encryptie, endpoint protection en regelmatige systeem- en software-updates behoren hiertoe. Daarnaast zijn incidentbeheersystemen met meldingsprocedures aan relevante autoriteiten cruciaal en dien je regelmatige audits uit te voeren om maatregelen te evalueren, kwetsbaarheden te ontdekken en te verhelpen. Ook op deze robuuste naleving van NIS2 gaan we in de volgende blog dieper in.

Functionele maatregelen

Ten slotte legt NIS2 de nadruk op bewustwording en opleiding op het gebied van cyberbeveiliging. Je kunt het op strategisch en technisch niveau perfect op orde hebben, maar de menselijke factor is en blijft doorslaggevend. Onopzettelijke menselijke fouten vormen een groot risico voor het beveiligingsniveau. Maak collega’s dus bewust van beveiligingsrisico’s en de maatregelen waarmee je deze risico’s gezamenlijk beheerst. Het is belangrijk dat ze op de hoogte zijn van de nieuwste bedreigingen en leren hoe ze deze effectief kunnen herkennen en voorkomen. Dus organiseer met regelmaat trainingen en workshops om een cultuur van veiligheid te creëren waarin iedereen begrijpt wat zijn of haar rol is in het beschermen van de organisatie tegen cyberdreigingen.

Ondersteuning bij implementatie NIS2

Terwijl cyberaanvallen toenemen in aantal en in ernst, heb je als organisatie niet altijd de kennis of capaciteit om je de complexe materie eigen te maken en te vertalen in een concreet actieplan. Met als gevolg dat veel data, geld en dus ook je reputatie en bedrijfscontinuïteit verloren kunnen gaan. In de volgende blog lees je hoe je dit voorkomt. We gaan uitgebreid in op bovenstaande maatregelen zodat jij de komst van NIS2 niet hoeft te vrezen, maar volledig kunt omarmen.

Mark-Peter van Rijn

Wil je eens sparren of zoek je een partner die samen met jou werkt aan de digitale weerbaarheid van je organisatie? We helpen je graag, mail naar mrijn@uno.nl of bel naar 070 – 3300010.

Aanmelden Webinar

Datum 5 oktober 2023 Tijd 10.00 uur tot 11.00 uur
De webinar vindt online plaats en de aanmeldlink ontvang je via de mail.
(Niet ontvangen? Check je spam mailbox)

Schrijf je in voor
Webinar: Voldoen aan de NIS2? Wat betekent dat in praktijk voor jouw bedrijf!

Wij voelen ons verantwoordelijk voor jouw privacy en de bescherming van jouw persoonsgegevens.
Wil je weten hoe wij hiermee omgaan? Bekijk dan hier ons privacybeleid.

Direct contact met een specialist
die jou écht verder helpt

  • UNO Servicedesk: voor praktische en complexe, technische vragen
  • UNO’s digitale strategen: voor advies over de Cloud en jouw Werkplek van de Toekomst
  • UNO Customer Success Team: voor advies over Cloud Adoptie, IT-trends en overige vragen.

Wij luisteren en staan voor je klaar!

UNO Servicedesk

070-3300502

UNO Customer Succes Team

070-3300010

Stel een vraag

E-mail