Wat betekent NIS2 voor Cybersecurity en Zakelijke Naleving?

Insight: NIS2

Wat betekent NIS2 voor Cybersecurity en Zakelijke Naleving?

Als je de afgelopen dagen naar het nieuws hebt gekeken, zie je waarschijnlijk verhalen over gevoelige of vertrouwelijke gegevens die zijn gecompromitteerd. Dagelijks worden duizenden organisaties getroffen door cybersecurity-incidenten en kwetsbaarheden. Overheden wereldwijd proberen de IT-verdediging te versterken en de veerkracht van zowel nationale als particuliere entiteiten te vergroten, vaak met wisselend succes. Dit jaar is de Europese richtlijn Netwerk- en Informatiesystemen 2 (NIS2) een grote stap vooruit ten opzichte van eerdere inspanningen.

Ter verduidelijking: NIS2 onderscheidt zich door zijn brede reikwijdte en focus op het beschermen van kritieke infrastructuur, in vergelijking met andere bekende beveiligingsstandaarden. Terwijl raamwerken zoals NIST CSF veel worden toegepast vanwege hun best practices, missen ze de wettelijke controle en strenge meldingsvereisten die NIS2 oplegt. Aan de privacypijler beschermen regelgevingen zoals de AVG persoonlijke gegevens, maar ze geven geen prioriteit aan de operationele veerkracht van kritieke sectoren. Bovendien vult NIS2 andere industriestandaarden aan, zoals ISO27001, die zich alleen richten op informatiebeveiliging voor specifieke industrieën of datatypes. Kort gezegd, door een breder scala aan sectoren te dekken en een uniform cybersecurityraamwerk in de hele EU te implementeren, vult NIS2 de leemte door normen af te dwingen die zowel gegevensbescherming als veerkracht tegen cyberdreigingen waarborgen.

Maar wat is precies de impact op bedrijven?

De nieuwe richtlijnen bestrijken meer entiteiten dan voorheen.

NIS2 is nu van toepassing op meer dan 100.000 entiteiten, wat een aanzienlijke uitbreiding is van de oorspronkelijke NIS-richtlijn. Dit wordt bereikt door de sectoren die onder de richtlijn vallen te verbreden en door twee categorieën organisaties in te voeren: Essentiële Entiteiten, waaronder kritieke sectoren zoals energie, gezondheidszorg en digitale infrastructuur, en Belangrijke Entiteiten, waaronder industrieën zoals voedselproductie, postdiensten en afvalbeheer. Deze entiteiten moeten voldoen aan strengere cybersecuritymaatregelen, wat de veerkracht en responsmogelijkheden in de hele EU verbetert. De nieuwe richtlijn zorgt voor een uitgebreidere bescherming van belangrijke industrieën en verbetert de coördinatie en het toezicht op cybersecurity-inspanningen.

Bovendien, als uw bedrijf buiten de EU is gevestigd maar kritieke diensten binnen de EU aanbiedt, is de NIS2-richtlijn ook op u van toepassing. De richtlijn breidt haar reikwijdte uit naar niet-EU-entiteiten die essentiële of belangrijke diensten binnen de EU leveren. Dit betekent dat bedrijven moeten voldoen aan strengere cybersecuritymaatregelen zoals voorgesteld in de nieuwe richtlijnen om de beveiliging en veerkracht van diensten binnen de EU-markt te waarborgen.

Met andere woorden, het eerste wat bedrijven moeten nagaan, is of ze actief zijn in de regio’s die onder de nieuwe richtlijn vallen.

De verschillen tussen een richtlijn en een verordening

Afgezien van NIS2 zijn er, zoals eerder genoemd, veel andere beveiligingsstandaarden zoals GDPR, NIST CSF en ISO27001. Maar wat zijn de verschillen tussen richtlijnen, verordeningen en raamwerken? In de Europese Unie zijn richtlijnen, zoals NIS2, juridische instrumenten die moeten worden omgezet in nationale wetgeving door elke lidstaat, wat ruimte laat voor landspecifieke interpretaties. Verordeningen, zoals de AVG, zijn bindend voor alle lidstaten zonder omzetting, wat zorgt voor een uniforme toepassing. Raamwerken zoals NIST CSF, ISO 27001, SOC 2 en PCI DSS zijn daarentegen veelgebruikte best practices, maar niet wettelijk bindend. In deze context vult NIS2 als richtlijn deze raamwerken aan door strengere, omzetbare cybersecuritynormen vast te stellen binnen de EU.

Om dit te verduidelijken: hoewel de NIS2-richtlijn in nationale wetgeving moet worden omgezet, hoeven entiteiten of organisaties niet onmiddellijk te voldoen, aangezien de deadline alleen voor regeringen geldt. Organisaties zullen waarschijnlijk meer tijd krijgen om te voldoen zodra de richtlijn is omgezet. De uiteindelijke nationale wetten kunnen variaties bevatten, dus bedrijven die door NIS2 worden getroffen, moeten de ontwikkelingen in hun land goed in de gaten houden.

Hoe kunnen organisaties zich voorbereiden op NIS2?

Nu we meer inzicht hebben in de verschillen met andere regelgeving en de ernst van de richtlijnen, op welke gebieden moeten bedrijven zich dan aanpassen of aandacht besteden?

NIS2 benadrukt proactieve benaderingen van cybersecurity, waardoor het essentieel is voor organisaties om incidenten niet alleen aan te pakken nadat ze zich hebben voorgedaan, maar om risico’s alvorens te voorkomen en te beperken. Het is opgebouwd rond vier belangrijke pijlers: corporate accountability, risk management, rapportageverplichtingen en bedrijfscontinuïteit

Het bedrijfsmanagement wordt nu verplicht een meer actieve, geïnformeerde rol op zich te nemen

Om te beginnen is bedrijfsverantwoordelijkheid nu een fundamenteel aspect van cybersecurity onder NIS2. Cybersecurity is niet langer alleen de verantwoordelijkheid van de IT-afdelingen, maar ook een strategische prioriteit op het niveau van de Raad van Bestuur. Leiderschap en executives worden nu verplicht om directe verantwoordelijkheid te nemen voor de cybersecuritypositie van de organisatie, in plaats van de verantwoordelijkheden alleen aan het IT-team over te dragen.

Robuustere risicobeheerpraktijken om cyberdreigingen te minimaliseren

Nu het leiderschap alerter wordt, is het ook belangrijk om de organisatie te sturen in het mitigeren van potentiële risico’s. Effectief risicobeheer houdt in dat robuuste incidentresponsprotocollen worden geïntegreerd, de toeleveringsketen wordt beveiligd en netwerken en gegevens worden beschermd door middel van maatregelen zoals encryptie. Een Software Bill of Materials (SBOM) kan organisaties helpen inzicht te krijgen in kwetsbaarheden van derde partij software. Daarnaast versterkt het aannemen van een Zero Trust beveiligingsmodel de verdediging door elke gebruiker en elk apparaat te verifiëren voordat netwerktoegang wordt verleend.

Zorg voor bedrijfscontinuïteit en herstelplannen voor rampen in het geval van een groot incident

Vervolgens richt NIS2 zich sterk op bedrijfscontinuïteit en rampenherstel (BCDR) planning, waarbij de nadruk ligt op de noodzaak van robuuste back-upsystemen en -strategieën om ervoor te zorgen dat zelfs in het geval van een cyberaanval de bedrijfsvoering snel kan worden hervat en verstoringen tot een minimum worden beperkt. Betrouwbare backupoplossingen zoals Synology, die niet alleen uw fysieke en virtuele workloads beschermen, maar ook de herstelbaarheid in een mum van tijd waarborgen, zijn cruciaal voor het handhaven van veerkracht in het huidige dreigingslandschap.

Zorg voor processen voor snelle incidentmeldingen

Tot slot legt NIS2 de nadruk op snelle incidentmeldingen, waarbij organisaties verplicht worden om autoriteiten kort na het detecteren van significante cyberincidenten te informeren. Snelle meldingen helpen de bredere impact van aanvallen te minimaliseren, zorgen voor een gecoördineerde reactie en versnellen het herstel. Deze strikte tijdslijn moedigt organisaties aan om processen in te stellen voor het efficiënt identificeren, documenteren en melden van incidenten.

Er is nog tijd om ervoor te zorgen dat uw organisatie voldoet aan de nieuwe richtlijn

De NIS2-richtlijn versterkt de cybersecuritymaatregelen in kritieke en belangrijke sectoren door strengere meldingsdoden, verbeterde risicobeheerprocessen en zwaardere straffen voor niet-naleving in te voeren. Ondanks het feit dat NIS2 uiterlijk oktober 2024 in lokale wetten moet worden omgezet, heeft u nog 1-2 jaar om volledig voor te bereiden. Organisaties wordt sterk aangeraden om onmiddellijk actie te ondernemen door een gespecialiseerde taskforce op te zetten voor het aannemen van op NIS2 gebaseerde wetgeving en het herzien van hun cybersecurity- en gegevensbeschermingsinfrastructuren.

Dit is een ingezonden bijdrage van Synology. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.