Wat is NIS2?
De NIS2 richtlijn, formeel bekend als de Network and Information Security directive, is de nieuwste stap van de Europese Unie in haar streven naar een robuustere cyberbeveiliging binnen haar lidstaten. Deze richtlijn is niet zomaar een opvolger van de oorspronkelijke NIS-richtlijn, maar een uitgebreidere en strengere versie die bedoeld is om de weerbaarheid van essentiële diensten in de EU te versterken.
De afgelopen jaren hebben diverse mondiale gebeurtenissen, variërend van de COVID-19 pandemie en geopolitieke spanningen tot aanhoudende cyberdreigingen, de noodzaak voor versterkte cyberbeveiliging onderstreept. In reactie hierop heeft de Europese Unie sinds 2020 gewerkt aan de ontwikkeling van de NIS2 directive. Het doel? De digitale en economische weerbaarheid van de lidstaten verhogen.
Ondanks een groeiend bewustzijn van cybersecurity, tonen analyses van security-incidenten en datalekken aan dat veel van deze incidenten voorkomen hadden kunnen worden met zorgvuldigere maatregelen. NIS2 is ontworpen om organisaties te dwingen hun cybersecurity te verbeteren en een bepaald minimumniveau te garanderen. De richtlijn benadrukt het belang van protectie, detectie, respons en herstel.
Zorgplicht
De NIS2-richtlijn benadrukt het belang van proactieve maatregelen. Organisaties worden verplicht om zelfstandig een risicobeoordeling uit te voeren. Op basis van deze beoordeling dienen zij passende maatregelen te nemen om hun diensten te waarborgen en de gebruikte informatie adequaat te beschermen.
Om organisaties te helpen bij het voldoen aan deze zorgplicht, specificeert de NIS2 in artikel 21 een reeks maatregelen die als leidraad kunnen dienen:
- Risicobeoordeling voor beveiliging van informatiesystemen.
- Opstellen van beleid en procedures voor de beoordeling van de effectiviteit van risicobeheersmaatregelen.
- Hanteren van een basisniveau van cyberhygiëne.
- Zorgen voor crisismanagement en waarborgen van operationele continuïteit bij een groot cyberincident.
- Veiligheid van de toeleveringsketen waarborgen.
- Waarborgen van veiligheid van netwerk- en informatiesystemen, waaronder het reageren op en communiceren van kwetsbaarheden.
- Digitale veiligheid van personeel waarborgen, inclusief toegangsbeleid en het beveiligen van de digitale bedrijfsmiddelen.
- Inzetten van cryptografie en versleuteling.
- Multifactor authenticatie toepassen en/of zorgen voor beveiligde communicatie en uitvoeren van reactieve monitoring na een incident en proactieve monitoring, ook buiten incidenten om.
Het voldoen aan deze strengere eisen kan complex zijn, maar Eshgro kan hierbij ondersteunen. Met geavanceerde beveiligingssystemen en grondige tests zorgt Eshgro ervoor dat kritische bedrijfsdata beschermd blijft. Eshgro Security specialiseert zich in het continu veilig houden van ICT-infrastructuren, met 24×7 security monitoring vanuit ons Security Operations Center (SOC).
Meldplicht
Incidenten die de essentiële dienstverlening aanzienlijk kunnen verstoren, moeten binnen 24 uur bij de toezichthouder worden gemeld. Daarnaast is er een specifieke verplichting voor cyberincidenten, die ook bij het Computer Security Incident Response Team (CSIRT) gemeld moeten worden. Dit team staat vervolgens klaar om hulp en bijstand te bieden. Factoren die bepalen of een incident meldingswaardig is, omvatten onder andere het aantal getroffen personen, de duur van een verstoring en eventuele financiële verliezen.
Toezicht
De NIS2-richtlijn introduceert een uitgebreid toezichtsregime. Organisaties die onder de richtlijn vallen, worden onderworpen aan onafhankelijk toezicht om te waarborgen dat zij voldoen aan de verplichtingen van de richtlijn, zoals de zorg- en meldplicht. Het exacte kader van dit toezicht, inclusief welke toezichthouder verantwoordelijk zal zijn voor welke sector, wordt momenteel nog verder uitgewerkt.
Ben jij klaar voor NIS2?
Wacht niet tot het te laat is. Neem de controle over jouw digitale toekomst en zorg ervoor dat je klaar bent voor de NIS2-richtlijn. Neem contact met ons op via het contactformulier en zet vandaag nog de eerste stap naar een veiligere en compliant digitale omgeving voor jouw organisatie.
