hoe bedrijven kunnen voldoen aan nis 2 vóór de implementatiedeadline van oktober banner

Hoe bedrijven kunnen voldoen aan NIS 2 vóór de implementatiedeadline van oktober

Europese landen en bedrijven hebben nog iets meer dan een maand de tijd om zich voor te bereiden op de inwerkingtreding van de tweede versie van de richtlijn voor netwerk- en informatiesystemen (NIS) van de Europese Unie.  

De wet, die op 17 oktober 2024 moet worden geïmplementeerd, is bedoeld om het vermogen van elke EU-lidstaat om cybercriminaliteit aan te pakken te verbeteren, het delen van cybersecurity-informatie en samenwerking op blokniveau te vergemakkelijken en ervoor te zorgen dat bedrijven in cruciale sectoren cybersecurity serieus nemen. Maar wat betekent dit in de praktijk? 

Een bredere aanpak van cyberbeveiligingsrisicobeheer

Toen de EU in 2016 de oorspronkelijke NIS-richtlijn introduceerde, was het doel om de cyberbeveiliging van kritieke infrastructuur in het hele politieke blok te verbeteren.  

Omdat de cyberbeveiligingsdreigingen de afgelopen jaren dramatisch zijn toegenomen en nu vrijwel elke sector treffen, hebben Europese wetgevers de reikwijdte van de NIS-vereisten in de tweede versie van de richtlijn uitgebreid.  

NIS2 bestrijkt een breder scala aan sectoren, waaronder voedselproductie, afvalbeheer, postdiensten, onderzoek, productie, lucht- en ruimtevaart, openbaar bestuur en vele anderen. Ook wordt rekening gehouden met de beveiligingsrisico's voor de toeleveringsketen die worden gecreëerd door digitale dienstverleners.  

Het splitst sectoren op in twee gebieden: essentieel en belangrijk. Het label "essentieel" beschrijft zeer kritische industrieën zoals energie en financiële dienstverlening, eerder geschetst in NIS1. Deze organisaties zullen meer dan 250 mensen in dienst hebben en een omzet van meer dan € 50 miljoen per jaar genereren.  

Aan de andere kant omvat de categorie "belangrijk" een extra reeks vitale industrieën, zoals post- en koeriersdiensten en onderzoeksorganisaties. Bedrijven in deze categorie zijn over het algemeen middelgroot, hebben meer dan 50 mensen in dienst en genereren een jaarlijkse omzet van meer dan € 10 miljoen.  

Op grond van deze wet moeten EU-lidstaten er ook voor zorgen dat ze voorbereid zijn om ernstige cybersecurity-incidenten aan te pakken. Ze moeten namelijk cyberincidentresponsteams en een nationale netwerk- en informatiesystemen (NIS)-autoriteit oprichten. Via de NIS Cooperation Group wil de richtlijn de samenwerking en inlichtingenuitwisseling tussen lidstaten op het gebied van cybersecurity verbeteren. 

Nick Palmer, een solutions engineer bij threat intelligence platform Censys, beschrijft NIS 2 als een verbeterde versie van NIS 1 die de collectieve cybersecurity van elke EU-lidstaat wil verbeteren. Hij vertelt ISMS.online: "Het is ontworpen om een ​​aantal hiaten en mismatches aan te pakken die aan het licht kwamen met de oorspronkelijke regels. Naarmate onze digitale wereld groeit en cyberdreigingen steeds geavanceerder worden, realiseerde de EU zich dat ze haar verdediging moest versterken." 

 Als onderdeel van een uitgebreidere cybersecurity-aanpak in de EU, legt Ed Parsons — VP van wereldwijde markten en ledenrelaties bij non-profit ISC2 — uit dat het risicomanagement, corporate accountability, incidentrapportage en business continuity planningsvereisten omvat. Hij zegt: "Belangrijke beveiligingspraktijken die door NIS 2 worden voorgeschreven, zijn onder meer supply chain security, netwerkbescherming, encryptie, multi-factor authenticatie, vulnerability management en cybersecurity-training." 

Waarom naleving van het grootste belang is

Omdat cyberbeveiligingsdreigingen wereldwijd snel toenemen in omvang en complexiteit, zijn sommige experts van mening dat naleving van NIS 2 in het belang is van bedrijven in alle sectoren.   

Dave Joyce, CEO van data recovery software provider Macrium, zegt dat de aanpak van cross-sector cyber resilience authentiek lijkt in het licht van het complexe online dreigingslandschap van vandaag. Hij is vooral bemoedigd door de "omvattende aanpak van cybersecurity" in het bedrijfslandschap, en voegt toe dat het zich niet alleen richt op "bekende dreigingen".  

“NIS 2 legt de nadruk op het beveiligen van de volledige toeleveringsketen en het zorgvuldig overwegen van de manier waarop leveranciers met gegevens omgaan. Dit is een zorg die werd benadrukt door incidenten zoals de CrowdStrike-inbreuk, die hiaten in de praktijken voor herstel na een ramp aan het licht bracht”, legt Joyce uit.  

Joyce zegt dat naleving de sleutel is tot het behouden van bedrijfscontinuïteit, vertrouwen van klanten en toegang tot de EU-markt, en het vermijden van boetes tot € 10 miljoen of 2% van de jaarlijkse internationale omzet. Hij vervolgt: "Uiteindelijk bevordert NIS 2-naleving een veiligere digitale omgeving en draagt ​​bij aan een veiliger wereldwijd cyberecosysteem." 

Palmer van Censys is een andere fervente gelovige in de NIS 2-richtlijn en de positieve impact ervan op het Europese bedrijfsleven. Hij wijst erop dat het volgen van deze robuuste vereisten de kans verkleint dat bedrijven slachtoffer worden van cybercriminaliteit en de gevolgen die dat met zich meebrengt, zoals verstoorde activiteiten, reputatieschade en financieel verlies. 

"Compliance speelt ook een cruciale rol bij het opbouwen en behouden van vertrouwen bij klanten, partners en belanghebbenden, omdat het een toewijding aan gegevensbeveiliging en operationele veerkracht aantoont", zegt hij. "In de competitieve EU-markt kan non-compliance ertoe leiden dat lucratieve kansen worden afgesneden of dat contracten worden verloren aan meer compliant concurrenten." 

Parsons van ISC2 stelt dat naleving van NIS 2 bedrijven beter voorbereidt op nieuwe cyberdreigingen, hun algemene begrip van cyberbeveiligingsincidenten en de impact ervan op de dagelijkse bedrijfsvoering vergroot en hen helpt een naadloos proces op te zetten voor het reageren op en melden van dreigingen.  

Hoe NIS2 van toepassing is op Britse organisaties

Hoewel het VK de EU heeft verlaten, zal de NIS 2-richtlijn nog steeds veel Britse bedrijven treffen. Volgens Ann Keefe, regionaal directeur van VK & Ierland bij IT-bedrijf Kingston Technology, omvat dit ook in het VK gevestigde bedrijven die handelen met EU-lidstaten. Ze zegt dat ze zich aan de NIS 2-vereisten moeten houden als ze "niet betrapt willen worden" door EU-regulatoren.  

Maar zelfs als een Brits bedrijf geen EU-bedrijfsbelangen heeft, kan het in hun belang zijn om de uitgebreide NIS 2-vereisten te volgen. Rob O'Connor, technologieleider en CISO van EMEA bij het wereldwijde technologiebedrijf Insight, wijst erop dat de aankomende Cyber ​​Security and Resilience Bill van het VK enige overlapping zal hebben met NIS 2. Hij suggereert dat het aannemen van de NIS 2-normen een "kosteneffectieve" manier zou kunnen zijn om met toenemende cyberbeveiligingsrisico's om te gaan.  

Palmer van Censys zegt dat Britse organisaties die te maken krijgen met de NIS 2-vereisten voor risicobeheer en rapportage over beveiliging, geavanceerde cyberbeveiligingsmaatregelen moeten implementeren, regelmatig risicobeoordelingen moeten uitvoeren en de beveiliging van hun toeleveringsketens moeten waarborgen.  

"Ze moeten belangrijke beveiligingsincidenten binnen strikte tijdsbestekken melden aan EU-autoriteiten, meewerken tijdens onderzoeken en mogelijk een EU-vertegenwoordiger aanstellen om regelgevende communicatie te beheren", zegt hij. "Contracten met EU-klanten moeten NIS 2-nalevingsclausules bevatten, om ervoor te zorgen dat de organisatie voldoet aan wettelijke verplichtingen en bescherming biedt tegen cyberdreigingen." 

Voorbereiding op NIS 2

Nu de deadline voor naleving van NIS 2 snel nadert, moeten bedrijven die nog niet zijn begonnen met de voorbereidingen voor de komst ervan, dat nu doen. Maar welke stappen houdt dit in? Volgens Parsons van ISC2 is de eerste stap om te bepalen of een bedrijf zelf aan NIS 2 moet voldoen of dat de wet van toepassing is op zijn leveranciers.  

Om dit te doen, zegt hij, moeten ze beoordelen of het bedrijf opereert in een "essentiële" of "belangrijke" sector volgens de NIS-definities. Parsons voegt toe dat bedrijven die onderworpen zijn aan de NIS-richtlijnen vervolgens cyberbeveiligingsrisico's moeten identificeren en beperken als onderdeel van een uitgebreide risicobeoordeling.  

"Op basis van de risicobeoordeling moeten passende technische en organisatorische maatregelen worden geïmplementeerd. Bedrijven moeten zich voorbereiden op incidenten door responsplannen en processen te creëren voor het melden van significante incidenten aan de relevante autoriteiten", zegt hij. 

Joyce van Macrium denkt er hetzelfde over en dringt er bij bedrijven op aan om hun cyberhouding te beoordelen en zichzelf af te vragen of ze momenteel over de middelen beschikken om zo snel mogelijk van een incident te herstellen.  

Zo niet, dan raadt hij aan om een ​​cyberincidentherstelplan te implementeren dat is versterkt met een back-upoplossing, recovery point objectives (RPO) en recovery time objectives (RTO). RPO verwijst naar het maximale gegevensverlies dat een bedrijf kan lijden na een cyberaanval, terwijl RTO de maximale tijd is die bedrijven kunnen beheren zonder IT-netwerken en -services.  

Omdat NIS 2 zich specifiek richt op risico's voor de beveiliging van de toeleveringsketen, adviseert Joyce bedrijven om te evalueren hoe hun leveranciers en partners cybersecurity-kwesties aanpakken. Hij voegt er ook aan toe dat bedrijven hun personeel moeten leren hoe ze cybersecurity-bedreigingen kunnen identificeren en melden, en voegt eraan toe dat "duidelijke structuren voor verantwoordelijkheid en rapportage essentieel zijn."  

Hij concludeert: “Compliance is geen eenmalige taak; het vereist voortdurend onderhoud en waakzaamheid, dus bedrijven moeten op de hoogte blijven van de veranderende vereisten en een cultuur van voortdurende verbetering van de cyberveerkracht bevorderen.” 

 

Stroomlijn uw workflow met onze nieuwe Jira-integratie! Meer informatie vindt u hier.