logo ORSYS Le Mag

Het medium voor training en vaardigheden

Home > Digitale technologieën > Cyberbeveiliging > NIS 2: hoe bereid je je voor op de toepassing van de nieuwe cyberbeveiligingsrichtlijn?

NIS 2: hoe bereid je je voor op de toepassing van de nieuwe cyberbeveiligingsrichtlijn?

Gepubliceerd op 3 juni 2024
Deel deze pagina :

Het aftellen is begonnen: er zijn nog maar 5 maanden voordat de NIS 2.0 cybersecurityrichtlijn van kracht wordt. Deze Europese verordening zal van toepassing zijn op het MKB, lokale overheden en grote CAC 40-groepen. Wat zijn de eisen ervan? Wat zijn de sancties bij niet-naleving? Hoe bereidt u zich hierop voor en zorgt u ervoor dat uw informatiesysteem aan de eisen voldoet? Ontdek onze aanbevelingen om u te ondersteunen bij deze cruciale transitie.

Illustratie van artikel NIS 2

NIS 2 bezorgt CIO's het koude zweet. De NIS 2-richtlijn (Netwerk- en Informatiebeveiliging), gepubliceerd in december 2022, moet zeer binnenkort, op 17 oktober 2024, in Frankrijk van toepassing worden. Het doel ervan? Versterking van de cyberbeveiliging van bedrijven in de hele Unie.

Daartoe bouwt het voort op de reeds bestaande NIS 1-richtlijn door de beveiligingseisen te verhogen en de reikwijdte ervan uit te breiden naar meer bedrijven en organisaties.

De richtlijn NIS 2 heeft de bijzonderheid dat het de verantwoordelijkheid van managers bij het beheer van cyberincidenten in het spel brengt (art. 20 van de richtlijn). Met andere woorden: de beheerder, maar ook alle natuurlijke personen van de bestuursorganen (bijvoorbeeld het directiecomité) kunnen verantwoordelijk worden verklaard voor de cybersecurity van de onderworpen entiteit (art. 32 en 33).

Welke bedrijven worden getroffen door NIS 2?

De NIS 2-richtlijn zal van toepassing zijn op 18 activiteitensectoren (vergeleken met 7 voor NIS 1). Bedrijven worden onderverdeeld in 2 categorieën, volgens 3 criteria, sector van activiteit, aantal werknemers en omzet:

  • Essentiële entiteiten (EE)
  • Belangrijke entiteiten (EI)

Het zou om meer dan 20.000 Franse entiteiten moeten gaan, overheden van elke omvang en bedrijven variërend van kmo's tot CAC 40-groepen.

Entiteiten zullen niet langer per decreet worden aangewezen, maar volgens onderstaande criteria (activiteitssector, aantal werknemers, omzet).  

omvang van het bedrijf
Aantal werknemers
Afzet
(in € mln)
Zeer kritische sectoren
Kritieke sectoren
Micro-ondernemingen en MKB-bedrijven
≤ 50
<10
Niet beïnvloed door NIS 2
SMEs
51-249
10-49
Belangrijke entiteiten (IE)
ETI en grote bedrijven
≥250
≥50
Essentiële entiteiten (EE)
Belangrijke entiteiten (IE)

De 18 activiteitensectoren zijn onderverdeeld op basis van hun kriticiteit:

  • De zeer kritische sectoren : drinkwater, transport, gezondheidszorg, energie, financiële markt, bankwezen, digitale infrastructuur, die al onder NIS 1 vallen. Hieraan worden afvalwaterbeheer, ruimtevaart, ICT-diensten (inclusief sites voor e-commerce) en overheidsadministraties (centraal, regionaal en lokaal).
    Afhankelijk van de groottecriteria (aantal werknemers, omzet) zullen het EE's of EI's zijn.
  • De andere cruciale sectoren : post- en scheepvaartdiensten, afvalbeheer, voedsel, onderzoek en hoger onderwijs, productie, productie en distributie van chemicaliën, digitale leverancier.
    Deze sectoren omvatten alleen IE's.

Op nationaal niveau is het de ANSSI (Nationaal Agentschap voor Informatiesysteembeveiliging) die NIS 2 zal implementeren. De nationale autoriteit op het gebied van cyberbeveiliging en cyberdefensie zal de betrokken entiteiten ondersteunen bij het uitvoeren van een activiteitencontrole.

ANSSI biedt een test om te controleren of uw organisatie onder de NIS 2-richtlijn valt.

Wat zijn de vereisten van NIS 2?

De NIS 2-richtlijn is sterk gebaseerd op de ISO 27001-standaard, die risicobeheerprotocollen certificeert. Organisaties die betrokken zijn bij NIS 2 zullen bepaalde informatie aan ANSSI moeten verstrekken, passende risicobeheersmaatregelen implementeren (analyse en risicobeheerplan).

Bovendien, bedrijven moeten elk groot cyberveiligheidsincident binnen 72 uur melden aan ANSSI. Dit vereist dat we over de technische en organisatorische infrastructuur beschikken om deze te detecteren en erop te reageren.

Hoe bereid je je voor op NIS 2?

1. Controleer of uw organisatie betrokken is

De eerste stap is Controleer of uw organisatie betrokken is door te reageren op de door ANSSI voorgestelde test (zie bovenste).

2. Beoordeel de huidige staat van cyberbeveiliging

De tweede is het beoordelen van de huidige staat van de cyberbeveiliging van de organisatie. Om dit te doen, kunnen entiteiten:

  • Voer een beveiligingsaudit uit : zwakke punten en hiaten in de huidige beveiligingssystemen identificeren. Een MKB-bedrijf kan bijvoorbeeld ontdekken dat het geen sterk wachtwoordbeleid heeft, waardoor het kwetsbaar kan zijn voor brute force-aanvallen.
  • Beoordeel de risico's : Een risicoanalyse brengt potentiële bedreigingen en hun impact op de organisatie in kaart. Een transportbedrijf kan bijvoorbeeld vaststellen dat zijn wagenparkbeheersystemen vatbaar zijn voor cyberaanvallen die zijn activiteiten kunnen verstoren.
  • Breng activa in kaart : Identificeer kritieke activa en kritieke infrastructuur om te begrijpen waar de beveiligingsinspanningen op moeten worden gericht. Een gezondheidszorgbedrijf zal bijvoorbeeld zijn patiëntendatabases moeten identificeren als kritieke activa die betere bescherming vereisen.

3. Implementeer verbeterde beveiligingsmaatregelen

Vervolgens kunnen bedrijven dit doen op basis van de resultaten van de initiële beoordeling verbeterde veiligheidsmaatregelen implementeren :

  • Beveiligingsbeleid bijwerken. Een MKB-bedrijf zou bijvoorbeeld een beleid kunnen opstellen dat regelmatige software-updates vereist om kwetsbaarheden te voorkomen.
  • Verbeterde controle- en detectiesystemen (geavanceerde firewall, EDR…) of encryptie
  • Robuuster identiteits- en toegangsbeheer (IK BEN). Een e-retailer kan bijvoorbeeld multi-factor authenticatie (2FA) implementeren om de toegang van zijn klanten te beveiligen.

4. Versterk de veerkracht van de organisatie 

De entiteit zal ook haar organisatorische veerkracht kunnen versterken:

  • Ontwikkel continuïteitsplannen (PCA) en bedrijfsherstelplannen (PRA). Een e-commercebedrijf moet bijvoorbeeld een plan hebben om bestellingen te blijven verwerken, zelfs als zijn website wordt aangevallen.
  • Implementeer procedures voor incidentbeheer. Een productiebedrijf zou bijvoorbeeld een proces kunnen implementeren om gecompromitteerde systemen snel te isoleren om de schade te minimaliseren.
  • Train en vergroot het bewustzijn onder het personeel : alle medewerkers bewust maken van goede cyberbeveiligingspraktijken en regelmatig opleidingen voor het personeel organiseren. Bijvoorbeeld het trainen van personeel om phishing-e-mails te herkennen.

Ten slotte moet het zorgen voor naleving en voortdurende monitoring via regelmatige veiligheidsaudits, voortdurende communicatie met ANSSI, enz.

Wat zijn de sancties bij het niet naleven van NIS 2?

Anders dan NIS 1 voorziet de NIS 2-richtlijn in een sanctiecomponent bij niet-naleving door meldingsplichtige entiteiten. Deze sancties kunnen zeer zwaar zijn, vooral als het gaat om boetes.

Een MKB-bedrijf dat een groot veiligheidsincident niet meldt, kan bijvoorbeeld boetes krijgen die een aanzienlijk percentage van zijn jaaromzet vertegenwoordigen, vergelijkbaar met wat is bepaald in de Algemene Verordening Gegevensbescherming (AVG). Daarnaast kan ANSSI administratieve sancties opleggen, zoals nalevingsbevelen.

De voorziene sancties bedragen maximaal

  • € 10 miljoen of 2 1TP3Q van de wereldwijde omzet voor essentiële entiteiten (EE) het hoogste bedrag wordt ingehouden

  • € 7 miljoen of 1,4 1TP3Q van de wereldwijde omzet voor significante entiteiten (EI)
    het hoogste bedrag wordt ingehouden

Hieraan worden toegevoegd andere mogelijke sancties :

  • Van de waarschuwingen verzonden naar de klanten van een entiteit met betrekking tot potentiële risico's
  • Van de administratieve maatregelen zoals nalevingsbevelen, opschorting van activiteiten, intrekking van vergunningen, enz.
  • Van de rechterlijke bevelen het aansturen van de entiteit om te voldoen door middel van specifieke maatregelen.

Bij niet-naleving kunnen EE-managers worden uitgesloten van de uitoefening van hun taken. Het is daarom belangrijk dat deze leiders training krijgen in cybersecurity-governance.

Wat zijn de kosten van naleving?

Deze kosten kunnen aanzienlijk variëren, afhankelijk van de grootte van de organisatie en de mate waarin zij gereed is voor compliance. Daarbij komt nog het aantal digitale apparatuur en het aantal mensen dat verantwoordelijk is voor cybersecurity.

Kosten waarmee u rekening moet houden, zijn onder meer: beveiligingsaudits, technologische upgrades, opleiding van personeel en mogelijk de inzet van externe consultants.

De NIS 2-richtlijn vertegenwoordigt een grote uitdaging voor organisaties, maar ook een kans om hun cyberbeveiliging en weerbaarheid tegen bedreigingen te verbeteren. Voor CISO's, CIO's en MKB-leiders impliceert de voorbereiding op deze richtlijn een rigoureuze beoordeling van de huidige beveiligingsregelingen, de implementatie van robuuste beveiligingsmaatregelen en een streven naar voortdurende verbetering. De NIS 2-richtlijn legt ook een verplichting op voor cybersecuritytraining voor managers en bewustmaking van personeelsleden.

Door deze stappen te volgen, kunnen organisaties niet alleen voldoen aan NIS 2, maar ook hun algehele beveiligingspositie versterken.

Misschien ben je ook geïnteresseerd in deze artikelen

De ecologische transitie heeft invloed op de vaardigheden en trainingsbehoeften op alle niveaus van het bedrijf. Ecologische overgang: welke gevolgen voor vaardigheden en opleiding? Illustratie artikel IA de code AI: codegeneratoren, een revolutie voor ontwikkelaars IS-bestuur IS-governance: bedrijfsonderdelen betrekken bij bedrijfsbeveiliging

VORIG ARTIKEL

AI en HR: welke praktische toepassingen?

VOLGENDE ARTIKEL

Social selling: je LinkedIn-profiel optimaliseren om effectief te verkopen

Onze expert

ORSYS Redactie

De redactie van ORSYS Le mag bestaat uit journalisten die gespecialiseerd zijn in IT, management en persoonlijke ontwikkeling [...]

geassocieerd domein

Cyberbeveiliging

bijbehorende opleiding

Implementeer, bestuur en keur een NIS 2-project goed

NIS 2, NIST CSF 2, ISO 27001:2022

Beveiliging van informatiesystemen, samenvatting