Dutch
English
nis2
compliance
nis2 directive
nis2 pentest

Hoe Voorbereiden op de EU NIS2 Richtlijn

Joel Aviad Ossi
16 September, 2024

nis2_banner.png

Cyberaanvallen nemen in een alarmerend tempo toe. Bedrijven van alle groottes lijden hierdoor aanzienlijke reputatieschade en enorme financiële verliezen. De NIS2 (Netwerk- en Informatiesystemen Richtlijn 2) is het meest recente antwoord van de Europese Unie (EU) op deze verontrustende trend.

Weet je niet zeker hoe je je moet voorbereiden op de NIS2-richtlijn? In dit artikel leggen we de specifieke stappen uit om te voldoen aan de richtlijn. We bespreken ook de betrokken sectoren en mogelijke sancties voor niet-naleving, zodat je met een gerust hart kunt zorgen dat je geen wetten overtreedt of wordt blootgesteld aan aanvallen.

Wat is de NIS2 Richtlijn?

De NIS2 (Netwerk- en Informatiesystemen Richtlijn 2) is een wetgeving van de Europese Unie (EU) om de cyberbeveiliging van netwerken en informatiesystemen in de regio te verbeteren. De richtlijn is uitgevaardigd op 16 januari 2023, en EU-landen moeten deze tegen 17 oktober 2024 omzetten in nationale wetgeving.

Waarom is NIS2 Belangrijk?

Volgens het 2024 Global Digital Trust Insights onderzoek van PwC is het percentage bedrijven dat te maken heeft gehad met datalekken die meer dan $1 miljoen hebben gekost, gestegen van 27% naar 36% ten opzichte van het voorgaande jaar. Dit wijst erop dat, ondanks bestaande maatregelen (zoals de NIS1), de vooruitgang in het verbeteren van de beveiliging niet bemoedigend is. Daarom zijn strengere richtlijnen nodig.

Hoewel NIS1, de eerste EU-wetgeving op het gebied van cyberbeveiliging, de lidstaten meer mogelijkheden gaf om cyberaanvallen te bestrijden, was de uitvoering ervan moeilijk. Er waren nogal wat tekortkomingen die het voor organisaties lastig en verwarrend maakten om te voldoen aan de eisen. Dit leidde tot fragmentatie op verschillende niveaus en maakte de invoering van NIS2 noodzakelijk.

Het doel van de NIS2-richtlijn is daarom:

  • Versterken van bestaande beveiligingseisen.
  • Verbeteren van de beveiliging van de toeleveringsketen.
  • Vereenvoudigen van rapportageprocedures.
  • Introduceren van strengere toezichtsmaatregelen en sancties, inclusief gestandaardiseerde boetes binnen de EU.

Deze uitbreiding van de NIS-richtlijn zorgt ervoor dat meer sectoren en entiteiten de juiste maatregelen nemen om de cyberbeveiliging in Europa op de lange termijn te verbeteren.

Verschillen Tussen NIS1 en NIS2

Op basis van de bovenstaande doelen zijn hier de belangrijkste veranderingen van NIS1 naar NIS2:

  • Ruimere Reikwijdte: NIS2 bestrijkt een breder scala aan sectoren en entiteiten dan NIS1. Dit omvat zowel essentiële als belangrijke entiteiten. Essentiële entiteiten leveren kritieke diensten aan het publiek, terwijl belangrijke entiteiten een belangrijke rol spelen in de economie of samenleving. In totaal wordt geschat dat deze uitgebreide reikwijdte meer dan 160.000 organisaties in de EU omvat.

  • Grondige Beveiligingsverplichtingen: De verwarring bij NIS1 kwam vaak door vage eisen en inconsistenties. NIS2 zal dat aanpakken met meer specifieke beveiligingsverplichtingen die kritieke gebieden omvatten, zoals risicobeheer, incidentdetectie en -respons, en bewustwording en training op het gebied van cyberbeveiliging.

  • Incidentrapportage: NIS2 vereist dat organisaties cybersecurity incidenten rapporteren aan de autoriteiten, wat de verantwoordelijkheid vergroot. Deze verbeterde rapportage helpt autoriteiten cyberdreigingen beter te monitoren en coördineren in het geval van grote aanvallen. Onder de nieuwe richtlijnen moet een getroffen bedrijf een incident binnen 24 uur na bewustwording melden en een eindrapport indienen niet meer dan een maand later.

  • Handhaving via Sancties: De EU neemt strikte maatregelen om NIS2 af te dwingen, met zware boetes voor wie niet voldoet. Essentiële entiteiten kunnen maximaal €10 miljoen of 2% van hun wereldwijde jaaromzet boete krijgen, afhankelijk van welke hoger is. Belangrijke entiteiten kunnen een boete krijgen tot €7 miljoen of 1,4% van hun wereldwijde omzet.

Hoe Voor te Bereiden op NIS2 en Voldoen aan de Richtlijn

Nu je begrijpt wat er op het spel staat en waarom deze nieuwe richtlijn belangrijk is, bespreken we hoe je je kunt voorbereiden op NIS2.

Hier zijn de belangrijkste maatregelen uit de NIS2-richtlijn:

  • Veilig systeembeheer en -ontwikkeling: De beveiliging van je systemen, applicaties en infrastructuur is essentieel gedurende hun levenscyclus. Zorg ervoor dat je strikte beveiligingsmaatregelen toepast van ontwikkeling tot inzet en buitengebruikstelling, zoals richtlijnen voor veilig coderen en beheer van wijzigingen.

  • Risicomanagement en informatiebeveiliging: Ontwikkel grondige risicobeheersingspraktijken en zorg dat je regelmatig je beleid bijwerkt om IT-kwetsbaarheden te identificeren en te beperken.

  • Incidentbeheer en openbaarmakingsbeleid: Zorg voor een solide incidentresponsplan om schade door beveiligingsincidenten te minimaliseren en snel te herstellen.

  • Beleid voor bedrijfscontinuïteit: Zorg voor back-ups, rampenherstel en crisisbeheer, zodat de bedrijfsvoering ook bij verstoringen doorgaat.

  • Beveiliging van de toeleveringsketen: Werk samen met betrouwbare dienstverleners en auditeer hun beveiligingspraktijken regelmatig. Wist je dat bijna 30% van de datalekken wordt veroorzaakt door aanvallen op derden?

  • Assetbeheer: Houd een inventaris bij van alle belangrijke bedrijfsmiddelen en zorg voor hun beveiliging.

  • Cyberhygiëne en training: Regelmatige trainingen voor medewerkers zijn cruciaal, omdat zij de eerste verdedigingslinie vormen tegen cyberdreigingen.

  • Encryptie en cryptografie: Gebruik encryptie om gevoelige data te beschermen en definieer encryptiestandaarden en sleutels voor databeveiliging.

  • Beveiliging van personeelszaken (HR): Stel toegangscontrolemaatregelen op, zodat alleen bevoegde personen toegang hebben tot cruciale systemen en informatie.

  • Multi-factor authenticatie (MFA): Versterk de beveiliging door MFA in te zetten om ongeautoriseerde toegang te voorkomen.

Hoe WebSec kan Helpen met NIS2 Compliance

WebSec kan compliance vergemakkelijken door gespecialiseerde NIS2-penetratietesten die voldoen aan de vereisten van de nieuwe richtlijn. Onze NIS2 pentests identificeren en verhelpen kwetsbaarheden voor essentiële en belangrijke entiteiten, wat helpt om je beveiligingshouding te versterken en juridische of financiële verliezen te voorkomen.

In het geval van een inbreuk biedt WebSec 24/7 incidentresponsdiensten die zorgen voor snelle en effectieve ondersteuning, ongeacht het tijdstip. Om een cultuur van cyberbewustzijn binnen je organisatie te bevorderen, bieden we uitgebreide beveiligingstrainingen aan die je medewerkers de nodige vaardigheden en kennis bijbrengen om beveiligingsdreigingen te herkennen, te voorkomen en erop te reageren.

Wees vandaag nog proactief! Neem contact op, en een van onze teamleden helpt je graag verder.

Authored By
Joel Aviad Ossi

Managing Director

Deel met de wereld!

Beveiligingsbehoeften?

Bent u er echt zeker van dat uw organisatie veilig is?

Bij WebSec helpen we u deze vraag te beantwoorden door geavanceerde beveiligingsbeoordelingen uit te voeren.

Wil je meer weten? Plan een gesprek in met een van onze experts.

Afspraak Inplannen
Authored By
Joel Aviad Ossi

Managing Director