Sinds december 2022 is de 2e Network and Information Systems Security Directive (NIS2) van kracht. Op dit moment worden de NIS2-richtlijnen in Nederland omgezet in nationale wetgeving. De deadline om aan deze nieuwe regelgeving te voldoen is 17 oktober 2024. Veel organisaties zijn hier nog niet klaar voor, maar ook de Nederlandse overheid heeft al laten weten dat deze deadline niet haalbaar is. Toch is het van cruciaal belang dat organisaties die met NIS2 worden geconfronteerd, zich voorbereiden op de regelgeving. En dus is er werk aan de winkel, waarschuwt SoSafe, leverancier van cybersecurity awareness oplossingen in Europa. De exponentiële groei van het cyberdreigingslandschap heeft in de afgelopen tijd een zorgwekkende vkucht genomen. Hackers blijven innoveren met behulp van nieuwe technologieën, zoals AI-tools, die hackers extra handvatten geven om meer geavanceerde en naadloos uitgevoerde cyberbedreigingen in elkaar te zetten en uit te voeren.
Het belang van NIS2 is om cybersecurity te optimaliseren en de kritieke infrastructuur in de Europese Unie (EU) te beschermen en te versterken. Door de tekortkomingen van zijn NIS-voorganger aan te pakken en reikwijdte te vergroten, versterkt de NIS2-richtlijn de beveiligingsvoorschriften, verbetert het de rapportageverplichtingen en versterkt het de crisisbeheersingscapaciteiten. Dit draagt bij aan het waarborgen van de continuïteit van essentiële diensten en het beschermen van gebruikersgegevens tegen digitale dreigingen. De NIS2 moet hiermee het vertrouwen in digitale diensten versterken en de economische en maatschappelijke stabiliteit bevorderen.
Moet mijn organisatie aan NIS2 voldoen?
De komst van de nieuwe NIS2-richtlijn verplicht meerdere sectoren om te voldoen aan de richtlijn. Bovendien wordt het aantal publieke en private organisatie dat onder de richtlijn valt uitgebreid. Zo gaan de digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, onderzoek en manufacturing sectoren ook onder de richtlijn vallen.
Door ook deze sectoren onder te brengen in NIS2 wil de EU antwoord geven op het toenemende dreigingslandschap. Daarnaast heeft de toenemende afhankelijkheid van onze digitale infrastructuur een grote rol gespeeld in het herzien van de richtlijnen. Met het introduceren van NIS2 beoogt de EU een betere samenwerking tussen lidstaten te realiseren en een versterking van de verplichtingen voor bedrijven en exploitanten van essentiële diensten. Wilt u weten of uw organisatie/sector onder NIS2 valt? Alle informatie vindt u via deze link.
Belangrijkste aspecten van NIS2
Voldoen aan de nieuwe NIS2-richtlijn betekent investeren in maatregelen om te kunnen voldoen aan de regelgeving. Het waarborgen van de veiligheid van uw organisatie, medewerkers en klanten zou een prioriteit moeten zijn. De complexiteit van NIS2 maakt het echter voor veel organisaties lastig om de richtlijn goed te doorgronden. Daarom hebben we de belangrijkste aspecten van NIS2 op een rij gezet:
• Risicoanalyse: voer met regelmaat risicoanalyses uit om potentiële bedreigingen voor netwerk- en informatiesystemen te identificeren.
• Incidentenbehandeling: zorg voor een gestructureerd proces voor het detecteren en rapporteren van en reageren op cyberincidenten.
• Cyber awareness en opleiding: geef met regelmaat trainingen en opleidingen aan personeel over cybersecurity.
• Bedrijfscontinuïteit: implementeer procedures voor back-upbeheer, noodvoorzieningen en crisisbeheer om de continuïteit te waarborgen.
• Beveiliging toeleveringsketen: neem maatregelen om de veiligheid van de supply chain te waarborgen en risico’s te minimaliseren.
• Netwerkbeveiliging: implementeer beveiligingsmaatregelen bij het verwerven, ontwikkelen en onderhouden van netwerken, inclusief respons op en bekendmaking van kwetsbaarheden.
• Meetbare resultaten: zorg voor beleid en procedures die de effectiviteit van beveiligingsmaatregelen meetbaar maken.
• Cryptografie: stel beleid en procedures op voor het gebruik van cryptografie en encryptie om gevoelige informatie te beschermen.
• HR beveiligingsaspecten: pas rechtenbeheer toe om de toegang tot systemen en gegevens te waarborgen.
• Geavanceerde authenticatie: gebruik waar nodig multi factor authenticatie (MFA), continue authenticatie, beveiligde communicatie en implementeer nood communicatiesystemen om de beveiliging te versterken.
De menselijke factor is essentieel
In SoSafe’s Cybercrime 2024-trendrapport wordt vermeld dat in 74% van alle cyberaanvallen de menselijke factor een rol speelt. Forrester voorspelt zelfs dat in 2024 90% van alle succesvolle cyberaanvallen gericht zal zijn op het menselijke aspect. Daarom moet vooral het menselijke element in cybersecurity voortdurend voorrang krijgen en moeten medewerkers in staat gesteld worden om de snel veranderende dreigingen het hoofd te kunnen bieden. De NIS2-richtlijn onderkent dat en streeft ernaar op dit punt de menselijke factor in organisaties te versterken.
SoSafe benadrukt ook de urgentie om niet alleen te focussen op de naleving van beleid, maar verder te gaan dan puur het terugdringen van risico’s. Bas van Erk, directeur Benelux en Nordics formuleert het als volgt: “Regelgeving is essentieel en van belang om de economie effectiever te beschermen tegen cybersecurity risico’s; een van de redenen waarom de aandacht voor cybersecurity de afgelopen jaren is toegenomen en de menselijke factor meer centraal is komen te staan. Maar het voldoen aan compliance alleen is niet genoeg. Om risico’s op de lange termijn te minimaliseren, moeten bedrijven verder gaan. Traditionele bewustzijnsprogramma’s zoals die voorgeschreven zijn in regelgeving, richten zich meestal op kennisoverdracht. Medewerkers krijgen theorieles over potentiële bedreigingen en mogelijke acties daarop. Maar om te kunnen reageren op constant veranderende cyberdreigingen, hebben medewerkers ook een soort ‘onderbuikgevoel’ voor veranderende bedreigingen nodig. Daarom moeten bedrijven bewustzijnsstrategieën ontwikkelen vanuit een holistische benadering van menselijk risicomanagement die zich richt op menselijk gedrag en gedragsaanpassing.”
Het automatiseren van compliance, een gezamenlijke verantwoordelijkheid
De naleving van regelgeving en risico beperking is een organisatiebrede taak die niet alleen kan worden overgelaten aan teams van IT, security en de juridische afdeling. Daarom is het belangrijk dat iedereen zich bewust wordt van de eigen verantwoordelijkheid en ieder zijn of haar steentje bijdraagt. Cybersecurity moet daarom een onderdeel worden van de bedrijfscultuur en op die manier helpen het bedrijf te beschermen tegen cyberrisico’s. Goed nieuws: met programma’s die zich richten op het sturen van gedrag kunnen ook de menselijke factoren van cybersecurity worden geautomatiseerd. Medewerkers kunnen zich veilig gedrag eigen maken en op natuurlijke wijze veiligheidsteams ondersteunen en helpen om veiligheidsrisico’s duurzaam te minimaliseren. Eenmaal opgezet, hoeven SoSafe gebruikers bijvoorbeeld minder dan 1 uur te besteden aan het afvinken van de compliance boxen van NIS2 op het gebied van veiligheidsbewustzijnstraining. Het voortzetten van het programma zal leiden tot risicobeperking op de lange termijn.
De NIS2-richtlijn is een uitdaging voor veel bedrijven, maar ook een nuttige tool om cybersecurity tot een prioriteit voor de business te maken. In tijden van toenemende risico’s, of het nu gaat om kleine cybercriminelen of staats actoren, wordt cybersecurity steeds meer een concurrentiefactor van betekenis voor bedrijven.