logo ORSYS Le Mag

Het medium voor training en vaardigheden

Home > Digitale technologieën > Cyberbeveiliging > NIS 2: hoe bereid je je voor op de toepassing van de nieuwe cyberbeveiligingsrichtlijn?

NIS 2: hoe bereid je je voor op de toepassing van de nieuwe cyberbeveiligingsrichtlijn?

Gepubliceerd op 3 juni 2024
Deel deze pagina :

Het aftellen is begonnen: er zijn nog maar 5 maanden te gaan voordat de richtlijn van kracht wordt. NIS 2.0 over cyberbeveiliging. Deze Europese regelgeving geldt zowel voor kleine en middelgrote ondernemingen als voor lokale overheden en grote CAC 40-groepen. Wat zijn de vereisten? Wat zijn de sancties bij niet-naleving? Hoe kunt u zich voorbereiden en uw informatiesysteem in overeenstemming brengen? Ontdek onze aanbevelingen om u door deze cruciale overgang te helpen.

Illustratie van artikel NIS 2

NIS 2 bezorgt CIO's het koude zweet. De in december 2022 gepubliceerde NIS 2-richtlijn (netwerk- en informatiebeveiliging) wordt binnenkort, op 17 oktober 2024, van kracht in Frankrijk. Het doel? De cyberveiligheid van bedrijven in de hele Europese Unie verbeteren.

Daartoe bouwt zij voort op de bestaande NIS 1-richtlijn door de beveiligingseisen te verscherpen en de werkingssfeer ervan uit te breiden tot een groter aantal bedrijven en organisaties.

De richtlijn Een bijzonder kenmerk van NIS 2 is dat het managers verantwoordelijk maakt voor het beheer van cyberincidenten. (art. 20 van de richtlijn). Met andere woorden, niet alleen de manager, maar ook alle personen in de bestuursorganen (bijv. het directiecomité) kunnen verantwoordelijk worden verklaard voor de cyberbeveiliging van de rapporterende entiteit (art. 32 en 33).

Op welke bedrijven heeft NIS 2 invloed?

De NIS 2-richtlijn zal van toepassing zijn op 18 bedrijfssectoren (vergeleken met 7 voor NIS 1). Bedrijven worden onderverdeeld in 2 categorieën op basis van 3 criteria: sector, aantal werknemers en omzet:

  • Essentiële entiteiten (EE)
  • Belangrijke entiteiten (EI)

Naar verwachting zullen meer dan 20.000 Franse entiteiten worden getroffen, waaronder overheden van alle groottes en bedrijven variërend van KMO's tot CAC 40-groepen.

Entiteiten zullen niet langer per decreet worden aangewezen, maar aan de hand van de onderstaande criteria (activiteitensector, aantal werknemers, omzet).  

Bedrijfsgrootte
Aantal werknemers
Afzet
(in € miljoenen)
Zeer kritische sectoren
Kritieke sectoren
Micro-ondernemingen en MKB-bedrijven
≤ 50
<10
Niet beïnvloed door NIS 2
SMEs
51-249
10-49
Belangrijke entiteiten (SE)
ETI en grote bedrijven
≥ 250
≥ 50
Essentiële entiteiten (EE)
Belangrijke entiteiten (SE)

De 18 bedrijfssectoren zijn onderverdeeld op basis van hun kriticiteit:

  • De zeer kritische sectoren Deze omvatten drinkwater, vervoer, gezondheid, energie, de financiële markt, bankieren en digitale infrastructuur, die allemaal al onder NIS 1 vallen. Hieraan kunnen afvalwaterbeheer, ruimtevaart, ICT-diensten (inclusief e-commercesites) en overheidsdiensten (centraal, regionaal en lokaal) worden toegevoegd.
    Afhankelijk van hun grootte (aantal werknemers, omzet) zullen ze ofwel EE's of IE's zijn.
  • De andere cruciale sectoren Deze omvatten post- en verzenddiensten, afvalbeheer, levensmiddelen, onderzoek en hoger onderwijs, productie, productie en distributie van chemische producten en digitale leveranciers.
    Deze sectoren omvatten alleen IE's.

Op nationaal niveau zijn deANSSI (Agence nationale de la sécurité des systèmes d'information), die NIS 2 zal implementeren. De nationale autoriteit voor cyberbeveiliging en cyberdefensie zal ondersteuning bieden aan de betrokken entiteiten en tegelijkertijd een toezichthoudende rol vervullen.

ANSSI stelt voor a test om na te gaan of hun organisatie onder de NIS 2-richtlijn valt.

Wat zijn de vereisten voor NIS 2?

De NIS 2-richtlijn is sterk gebaseerd op de ISO 27001 die protocollen voor risicobeheer certificeert. Organisaties waarop NIS 2 van toepassing is, moeten het ANSSI bepaalde informatie verstrekken, passende risicobeheersmaatregelen implementeren (analyse en risicobeheerplan).

Bovendien, Bedrijven moeten elk groot cyberbeveiligingsincident binnen 72 uur melden bij het ANSSI.. Dit vereist de technische en organisatorische infrastructuur om ze op te sporen en erop te reageren.

Hoe bereid je je voor op NIS 2?

1. Controleer of uw organisatie betrokken is

De eerste stap is controleer of uw organisatie betrokken is door de door ANSSI voorgestelde test af te leggen (zie bovenste).

2. De huidige staat van cyberbeveiliging beoordelen

De tweede is het beoordelen van de huidige staat van de cyberbeveiliging van de organisatie. Om dit te doen, kunnen organisaties :

  • Een beveiligingsaudit uitvoeren Zwakke punten en gaten in de huidige beveiliging identificeren. Een MKB-bedrijf kan bijvoorbeeld ontdekken dat het geen robuust wachtwoordbeleid heeft, waardoor het kwetsbaar is voor brute force-aanvallen.
  • Risico's beoordelen Risicoanalyse: een risicoanalyse identificeert potentiële bedreigingen en hun impact op de organisatie. Een transportbedrijf kan bijvoorbeeld vaststellen dat zijn vlootbeheersystemen gevoelig zijn voor cyberaanvallen die de activiteiten kunnen verstoren.
  • Breng activa in kaart Identificeer kritieke bedrijfsmiddelen en kritieke infrastructuren om te begrijpen waar de beveiligingsinspanningen zich op moeten richten. Een bedrijf in de gezondheidszorg zal bijvoorbeeld zijn patiëntendatabases moeten identificeren als kritieke bedrijfsmiddelen die betere bescherming vereisen.

3. Verbeterde veiligheidsmaatregelen invoeren

Vervolgens kunnen bedrijven, afhankelijk van de resultaten van de eerste beoordeling strengere veiligheidsmaatregelen invoeren :

  • Beveiligingsbeleid bijwerken. Een MKB-bedrijf kan bijvoorbeeld een beleid invoeren dat regelmatige software-updates vereist om te voorkomen dat kwetsbaarheden.
  • Verbetering van controles en detectiesystemen (firewall gevorderd, EDR...) of encryptie
  • Krachtiger identiteits- en toegangsbeheer (IK BEN). Een e-tailer kan bijvoorbeeld multifactorauthenticatie implementeren (2FA) om de toegang van klanten te beveiligen.

4. De veerkracht van de organisatie versterken

De entiteit zal ook haar organisatorische veerkracht kunnen versterken:

  • Ontwikkel continuïteitsplannen (PCA) en weer aan het werk (PRA). Een e-commercebedrijf moet bijvoorbeeld een plan hebben om door te gaan met het verwerken van bestellingen, zelfs als de website wordt aangevallen.
  • Procedures voor incidentenbeheer implementeren. Een productiebedrijf kan bijvoorbeeld een proces invoeren om gecompromitteerde systemen snel te isoleren om schade tot een minimum te beperken.
  • Train en vergroot het bewustzijn onder het personeel Alle werknemers bewust maken van goede cyberbeveiligingspraktijken en regelmatig trainingen organiseren voor het personeel. Bijvoorbeeld, het personeel leren hoe ze e-mails van phishing.

Tot slot moet het zorgen voor naleving en voortdurende controle. door regelmatige beveiligingsaudits, voortdurende communicatie met het ANSSI, enz.

Wat zijn de sancties voor niet-naleving van NIS 2?

In tegenstelling tot de NIS 1-richtlijn voorziet de NIS 2-richtlijn in een reeks sancties in het geval van niet-naleving door entiteiten die onder de richtlijn vallen. Deze sancties kunnen zeer zwaar zijn, vooral in termen van boetes.

Een mkb-bedrijf dat een groot beveiligingsincident niet meldt, kan bijvoorbeeld boetes opgelegd krijgen die een aanzienlijk percentage van de jaaromzet vertegenwoordigen, vergelijkbaar met wat is bepaald in de algemene verordening gegevensbescherming (GDPR). Daarnaast zal het ANSSI administratieve sancties kunnen opleggen, zoals nalevingsbevelen.

De maximumstraffen zijn

  • 10 miljoen of 2 % van de wereldwijde verkoop voor essentiële entiteiten (EE) welke hoger is

  • 7m of 1,4 % van de wereldwijde verkoop voor grote entiteiten
    welke hoger is

Bovendien andere mogelijke sancties :

  • Van de waarschuwingen die naar de klanten van een entiteit worden gestuurd over potentiële risico's
  • Van de administratieve maatregelen zoals bevelen tot naleving, bedrijfsschorsingen, intrekkingen van vergunningen, enz.
  • Van de rechterlijke bevelen waarbij de entiteit wordt opgedragen om aan specifieke maatregelen te voldoen.

De directeuren van ES kan een beroepsverbod worden opgelegd in geval van niet-naleving. Het is daarom belangrijk dat deze managers worden getraind in de bestuur cyberbeveiliging.

Hoeveel kost compliance?

Deze kosten kunnen aanzienlijk variëren, afhankelijk van de grootte van de organisatie en de mate waarin ze klaar is voor compliance. Daarbij komt nog het aantal digitale apparaten en het aantal mensen dat verantwoordelijk is voor cyberbeveiliging.

De kosten waarmee rekening moet worden gehouden omvatten: veiligheidsaudits, technologische upgrades, opleiding van personeel en, indien nodig, het gebruik van externe consultants.

De NIS 2-richtlijn vormt een grote uitdaging voor organisaties, maar ook een kans om hun cyberbeveiliging en weerbaarheid tegen bedreigingen te verbeteren. Voor CISO's, CIO's en MKB-managers betekent de voorbereiding op deze richtlijn een rigoureuze beoordeling van de huidige beveiligingsvoorzieningen, de implementatie van robuuste beveiligingsmaatregelen en een streven naar voortdurende verbetering. De NIS 2-richtlijn legt ook de verplichting op om managers cyberbeveiligingstraining te geven en om het bewustzijn onder het personeel te vergroten.

Door deze stappen te volgen, kunnen organisaties niet alleen voldoen aan de NIS 2-richtlijn, maar ook hun algehele beveiliging versterken.

Misschien ben je ook geïnteresseerd in deze artikelen

Illustratie Artikel CSRD CSRD-richtlijn: welke gevolgen heeft deze voor uw bedrijf? Hoe kunt u zich erop voorbereiden? De ecologische transitie heeft invloed op de vaardigheden en trainingsbehoeften op alle niveaus van het bedrijf. Ecologische overgang: welke gevolgen voor vaardigheden en opleiding? Illustratie artikel IA de code AI: codegeneratoren, een revolutie voor ontwikkelaars

VORIG ARTIKEL

AI en HR: welke praktische toepassingen?

VOLGENDE ARTIKEL

Social selling: je LinkedIn-profiel optimaliseren om effectief te verkopen

Onze expert

ORSYS Redactie

De redactie van ORSYS Le mag bestaat uit journalisten die gespecialiseerd zijn in IT, management en persoonlijke ontwikkeling [...]

gebied van opleiding

Cyberbeveiliging

bijbehorende opleiding

Implementeer, bestuur en keur een NIS 2-project goed

NIS 2, NIST CSF 2, ISO 27001:2022

Beveiliging van informatiesystemen, samenvatting