De NIS2 (Network and Information Security) Richtlijn is de opvolger van NIS1. Het is bedoeld om een hoog gemeenschappelijk niveau van cybersecurity te bereiken in de lidstaten. NIS1 bleek moeilijk te implementeren, wat resulteerde in fragmentatie op verschillende niveaus terwijl de bedreigingen bleven groeien. NIS2 heeft een breder toepassingsgebied, wat resulteert in meer sectoren en organisaties die zich moeten houden aan de richtlijn. De bijgewerkte versie omvat de vereiste beveiligingseisen, ketenbeveiliging en gestroomlijnde rapportageverplichtingen.
Evalueer leveranciers en klanten
NIS2 richt zich op een hoog gemeenschappelijk niveau van cybersecurity. Het is essentieel om ervoor te zorgen dat de hele supply chain cybersecurity serieus neemt. Als organisatie heeft u meerdere afhankelijkheden die uw succes bepalen. Deze afhankelijkheden kunnen leveranciers, klanten en zelfs hun leveranciers en klanten zijn. De impact van cyber security-incidenten die de processen in hun organisaties verstoren, zijn waarschijnlijk ook van invloed op uw processen. Neem de tijd om naar uw afhankelijkheden te kijken en hoe een incident aan hun kant uw organisatie kan beïnvloeden.
Veranderingen in vergelijking met NIS1
We hebben vastgesteld dat NIS2 een bijgewerkte versie is van NIS1, maar wat is er veranderd? De belangrijkste verandering is de reikwijdte van NIS2. Het zal van toepassing zijn op veel meer essentiële sectoren van de economie en de samenleving. De sectoren die zich moeten houden aan de richtlijn zijn energie, transport, banken, financiën, gezondheid, drinkwater, afvalwater, digitale infrastructuur, (lokale) overheid, ruimtevaart, post- en koeriersdiensten, afvalbeheer, chemie, voeding, industrie en digitale aanbieders.
De voorgestelde NIS2-richtlijn brengt meer precieze bepalingen met betrekking tot de procedure voor het melden van incidenten, de inhoud van rapporten en de meldingstermijnen met zich mee. Entiteiten moeten elkaar en het Europese Agentschap voor netwerk- en informatiebeveiliging (ENISA) op de hoogte stellen van significante cyberincidenten en bedreigingen. Daarnaast stelt de Commissie voor om de beveiliging van supply chains en relaties met leveranciers aan te pakken.
Hoe u zich kunt voorbereiden
Om organisaties te helpen zich voor te bereiden op deze veranderingen, zijn hier vijf essentiële tips om te helpen zorgen voor naleving van de nieuwe regelgeving:
Beoordeel en identificeer essentiële diensten: Bekijk de diensten van uw organisatie en bepaal welke essentieel zijn. Zorg ervoor dat deze diensten veerkrachtig zijn en beschikken over de vereiste cybersecurity-maatregelen.
Werk de incidentresponsplannen bij: Bekijk en werk de incidentresponsplannen van uw organisatie bij om ze in overeenstemming te brengen met de nieuwe NIS2-vereisten. Dit omvat het proces voor het rapporteren van cyberincidenten en het definiëren van rollen en verantwoordelijkheden voor het reageren op beveiligingsbedreigingen.
Voer regelmatig risicobeoordelingen uit: Beoordeel regelmatig en identificeer cybersecurity-risico's binnen uw organisatie en neem passende maatregelen om ze aan te pakken. Dit omvat het updaten van beveiligingsprotocollen, software en hardware systemen.
Implementeer een security-by-design aanpak: Zorg ervoor dat beveiliging vanaf het begin is ingebouwd in de systemen en processen van uw organisatie. Dit houdt in dat security-by-design-principes worden toegepast op nieuwe en bestaande systemen, wat kan helpen voorkomen dat beveiligingskwetsbaarheden in de eerste plaats worden geïntroduceerd.
Voer regelmatig vulnerability scans en penetratietesten uit: Het is belangrijk om periodiek de beveiligingspositie van uw organisatie te beoordelen en eventuele kwetsbaarheden of zwakke plekken die moeten worden aangepakt te identificeren. Gebruik de resultaten om geschikte oplossingen te implementeren.