NIS2 - Wat is het? En wat moet je er mee?
Normaal gesproken zijn onze blogs een warm bad vol netwerk technische ideeën en oplossingen. Dit keer springen we onder een koude douche van regelgeving.
NIS2.
Je komt er niet om heen, want in oktober 2024 gaat NIS2 een rol spelen in het cyberleven van jouw organisatie.
NIS2 – hoe ver ben jij er mee?
NIS2 - Start tijdig met voorbereiden
(In samenwerking met Aart de Wit)
NIS2 heeft als doel om de digitale weerbaarheid van de EU-lidstaten te vergroten en de schade veroorzaakt door cyberaanvallen zo goed mogelijk te beperken. Alle EU-lidstaten hebben sinds 2022 twee jaar de tijd gekregen om de NIS2-richtlijn om te zetten in nationale wetgeving. Vanaf 18 oktober 2024 kunnen we dus in Nederland nieuwe wetgeving verwachten. In Nederland zal de NIS2-richtlijn geïmplementeerd worden in de vorm van de Cyberbeveiligingswet. Op het moment dat de Cyberbeveiligingswet wordt aangenomen, zal deze de huidige Wet beveiliging netwerk- en informatiesystemen (Wbni) vervangen.
In deze blog zetten wij zo kort mogelijk voor je uiteen wat NIS2 inhoudt en wat je er voor moet doen. Ja, echt de lap tekst hieronder is zo kort mogelijk gehouden... En spoiler alert; het is droge stof. Maar als het cyberleven van jouw organisatie je lief is en je houdt het graag gezond, zal je er toch doorheen moeten.
Leuker kunnen we het helaas niet maken, hopelijk wel iets overzichtelijker.
De NIS2-richtlijn van de EU: Wat is het?
De NIS2-richtlijn, oftewel de tweede richtlijn inzake de beveiliging van netwerk- en informatiesystemen, is een belangrijk instrument van de Europese Unie (EU) om de digitale beveiliging te versterken en cyberincidenten te voorkomen. Het is een richtlijn die zich door middel van voorschriften richt op de beveiliging en weerbaarheid van netwerk- en informatiesystemen in de EU.
NIS2 versus NIS – een heel klein stukje historie
NIS2 bouwt voort op de eerste NIS-richtlijn, die in 2016 werd geïntroduceerd. Het belangrijkste verschil tussen NIS en NIS2 ligt in de reikwijdte van de richtlijn. Er zijn meer sectoren toegevoegd en daarnaast stelt de nieuwe richtlijn strengere beveiligingsnormen en meldingsvereisten bij incidenten.
Waar NIS alleen van toepassing was op essentiële diensten, zoals energie, transport en financiën, heeft NIS2 een bredere scope. Het omvat nu ook digitale dienstverleners, zoals cloudserviceproviders, online marktplaatsen en zoekmachines. Hiermee wordt de bescherming van netwerk- en informatiesystemen in een bredere context geplaatst.
Voor wie gelden de NIS-richtlijnen?
Zowel overheidsinstanties als bedrijven in verschillende sectoren moeten voldoen aan de NIS2-richtlijnen.
Overheidsinstanties hebben een dubbele taak: ze moeten niet alleen zelf voldoen aan de richtlijnen, maar ook toezicht houden op de bedrijven die essentiële diensten verlenen. Ze zijn verantwoordelijk voor het controleren of organisaties de juiste beveiligingsmaatregelen nemen en of ze incidenten op de juiste wijze melden.
Aan de andere kant moeten bedrijven die onder de NIS2-richtlijn vallen hun systemen op een adequate manier beveiligen en incidenten melden bij de bevoegde autoriteiten. Op deze manier wordt een effectieve samenwerking tussen overheid en bedrijfsleven bevorderd om, ja daar hebben we het weer, de digitale weerbaarheid te vergroten.
Of de NIS2 richtlijn ook voor jouw organisatie geldt, is afhankelijk van de sector waarin jouw organisatie actief is en de grootte van jouw organisatie.
Voor een zelfevaluatie kan je op de Regelhulp van het RVO (Rijksdienst voor Ondernemend Nederland) een online quiz invullen.
NIS2-richtlijn – Wat zijn de voorgeschreven verplichtingen?
De NIS2 stelt uitgebreidere eisen aan cybersecurity dan haar voorganger waarbij dit uiteindelijk neerkomt op het zorg dragen voor cybersecurity. De belangrijkste punten uit de nieuwe eisen zijn:
- Zorgplicht: Organisaties moeten zelf een risicobeoordeling uitvoeren en passende maatregelen nemen om hun diensten en informatie te beschermen.
- Meldplicht: Organisaties moeten incidenten die de verlening van essentiële diensten sterk kunnen verstoren binnen 24 uur melden bij de toezichthouder. Cyberincidenten moeten ook worden gemeld bij het Computer Security Incident Response Team (CSIRT). Factoren zoals het aantal getroffen personen, duur van de verstoring en mogelijke financiële verliezen bepalen of een incident meldenswaardig is.
- Toezicht: Organisaties die onder de NIS2-richtlijn vallen, worden onderworpen aan toezicht van een onafhankelijke toezichthouder. Het toezicht richt zich op de naleving van de verplichtingen, zoals de zorg- en meldplicht. Het exacte toezichtmechanisme en de toezichthouder voor de sector Overheid moeten nog worden bepaald, maar er wordt gestreefd naar gebruik van bestaande verantwoordingsstructuren
Goed voorbereid op NIS2 – Wat kan je doen?
Een rij aan verplichtingen. Maar waar moet je op letten om die cyber weerbaarheid te vergroten? Wat kan je doen ter voorbereiding op NIS2?
Ook hier weer een zo beknopt mogelijk overzicht.
Om goed voorbereid te zijn op NIS2 moet je zowel organisatorische als technische maatregelen nemen, denk aan:
- Een risicoanalyse en beveiliging van informatiesystemen;
- Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van assets;
- Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen;
- Incidentenbehandeling;
- Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging;
- Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerken informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden;
- Beveiliging van de toeleveranciersketen;
- Beleid en procedures over het gebruik van cryptografie en encryptie;
- Het gebruik van multifactor-authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen;
- Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen.
Goed voorbereid op NIS2 – Technische maatregelen
Wat je allemaal over de hele IT-keten kan en moet doen gaat nu te ver om in deze blog te verwerken. Daarom houden wij het bij onze expertise – ICT Infrastructuur – en geven wij jou hieronder alweer een beknopt overzicht aan technische maatregelen.
Ter beveiliging van jouw ICT infrastructuur moet aan je de volgende netwerk technische maatregelen of oplossingen denken:
De Next Generation Firewall, een must in elk IT netwerk. Een krachtige netwerk security appliance die extra beveiliging toevoegt aan de traditionele firewall door:
- Hacking preventie,
- Zichtbaarheid van applicatie en gebruiker,
- SSL-inspectie,
- Detectie van onbekende bedreigingen.
Blokkeert netwerkverkeer, services, netwerkpoorten en protocollen behalve die uitdrukkelijk zijn toegestaan en gedefinieerd als passend en noodzakelijk voor de organisatie. De aanschaf van de nieuwste NGFW is natuurlijk niet genoeg. Elke firewall fucntioneert immers zo goed als de ingestelde set policies…. En de meest recente software versie. Dus houd het patchen goed bij alsof het cyberleven van jouw organisatie er vanaf hangt. Want dat doet het.
*Identity en access control oplossing (IAM)
Tooling voor access management tot de data en resources van de organisatie door toepassing van identiteit en role- en/of attribute-based access controle.
*ZTNA (Zero Trust Network Access)
Controle voordat toegang tot het ICT-netwerk wordt verleend op
- Identiteit van de gebruiker
- Gezondheid van de apparaten
- Appliance van de apparaten
- Controle en validatie wordt per sessie uitgevoerd.
Automatisch een uitgebreide, nauwkeurige inventarisatie van alle hard- en software in uw IT/OT-omgeving om vulnerabilities oftewel kwetsbaarheden pro-actief aan te pakken.
*Centralisatie monitoring en alerting
Monitoren en correleren van signalen uit het hele netwerk, identificeren en onderzoeken van verdachte activiteiten op de netwerkinfrastructuur om de cyberdefensie te optimaliseren.
ISO 27001 gecertificeerd – dat is toch genoeg?
ISO 27001 is de wereldwijd erkende norm op het gebied van informatiebeveiliging. De norm beschrijft hoe procesmatig met het beveiligen van informatie kan worden omgaan, met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen de eigen organisatie zeker te stellen. De norm bevat een stelsel van beheersmaatregelen om de cybersecurity en privacybescherming naar een hoger niveau te brengen.
De beheersmaatregelen van ISO 27001 komen overeen met de maatregelen van NIS2, voor zover wij nu de uitwerking van de NIS2 richtlijn kennen. De zorgplicht, meldplicht en het toezicht staan echter niet als zodanig in de norm. Hierop moeten de maatregelen die in het kader van ISO 27001 genomen zijn, worden getoetst en eventueel aangepast.
Handige links over NIS2 op een rij:
Rijksoverheid NIS2 Zelfevaluatie NL: https://regelhulpenvoorbedrijven.nl/NIS-2-NL/
De online quiz om te toetsen of de NIS2-richtlijn op jouw organisatie van toepassing is.
Digitale Overheid – NIS2-Richtlijn: https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/nis2-richtlijn/
Digitale overheid – Europese wet- en regelgeving: https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/europa/europese-wet-en-regelgeving/
Informatiebrochure Cyberbeveiligingswet: https://www.ncsc.nl/documenten/brochures/2024/5/21/cyberbeveiligingswet-informatiebrochure
Tot slot: op www.samendigitaalveilig.nl/voor-nis2-bedrijven staat:
“De NIS2 wet bestaat niet want die heet officieel de Europese NIS2 Richtlijn. In de loop van 2024 wordt de NIS2 ingebouwd in de Nederlandse Wbni. Dat is dus de Nederlandse wet. Omdat iedereen het heeft over de NIS2 gebruiken we die terminologie om spraakverwarring te vermijden. De nieuwe Wbni inhoud is nog niet erg bekend gemaakt maar zal, naar verwachting, in lijn liggen met de NIS2 richtlijn.”
Bekijk ook de rest van onze IT Security Blog reeks
Volg de LinkedIn page van Procyon Networks en houd de wekelijkse posts in de gaten.