5 tips om klaar te zijn voor DORA en NIS2

Willen organisaties klaar zijn voor de nieuwe Europese DORA- en NIS2-richtlijnen, dan is het de hoogste tijd om aan de slag te gaan. Zowel operations en IT als de security teams zullen aardig wat werk moeten verzetten. Beide nieuwe initiatieven zijn in de eerste plaats een juridisch raamwerk, maar toch zijn het vooral IT en security die aan de bak moeten. Hierbij vijf zaken die je onder controle moet hebben – tenzij je graag het management achter de tralies ziet verdwijnen natuurlijk…

Mocht je nog niet gehoord hebben van DORA of NIS2, dan eerst even een uitleg. Met de Digital Operational Resilience Act, Dora voor de vrienden, wil de Europese Unie de diverse regelgevingen voor de financiële sector stroomlijnen, een uniforme set aan standaarden opleggen en ervoor zorgen dat banken en andere financiële instellingen cyberdreigingen kunnen voorkomen, detecteren en remediëren. De financiële sector is een van de geliefde slachtoffers van cybercriminelen, dus cybersecurity is geen overbodige luxe. NIS2 is een verruiming van de Network and Information Systems Directive die al sinds 2016 security-regels oplegt aan organisaties die deel uitmaken van de kritische infrastructuur van landen. NIS2 legt dezelfde regels nu op aan meer bedrijven en overheden en wil ook de bewustwording rond cybersecurity verruimen. Zowel NIS2 als DORA treden in 2024 in werking, en op het niet naleven ervan staan forse boetes.

Net zoals GDPR een aansporing was voor organisaties om hun privacy-beleid eens kritisch tegen het licht te houden, zo vormen deze nieuwe regels een goede gelegenheid om de cyberhygiëne op orde te zetten. Met onderstaande vijf tips kom je al een heel eind.

1. Zorg voor een complete asset discovery & inventory

Aanvallen tegen een onderneming starten vaak bij een endpoint: een PC, een laptop… Uit onderzoek blijkt dat bijna 7 op 10 organisaties met inbreuken te maken krijgen via endpoints in hun netwerk waarvan ze het bestaan niet eens wisten. Daarom biedt Tanium oplossingen die alle endpoints ontdekken en inventariseren.

2. Centraliseer het beheer van endpoints

Weten welke endpoints er zijn, is cruciaal, maar ze vervolgens allemaal constant up to date houden is nog heel wat anders. Zeker wanneer je als onderneming duizenden endpoints hebt die over verschillende locaties verspreid zijn en je deze allemaal van upgrades wilt voorzien zonder de gebruikers in hun werk te storen. Tanium biedt één enkel platform dat identificeert waar je data zich bevinden, dat ieder device in een oogwenk patcht, dat kritieke security-maatregelen implementeert – en dat alles vanaf één enkele console.

3. Stop met point solutions

Veel bedrijven hebben de afgelopen jaren een hele reeks aan individuele netwerk- en security tools (point solutions) in gebruik genomen. Die werken vrijwel nooit goed met elkaar samen, waardoor inbreuken vaak niet tijdig ontdekt worden en het lastig is om een volledig overzicht te krijgen. Tanium lost dat op met zijn Converged Endpoint Management: vanaf een centrale locatie kan de volledige endpoint-infrastructuur beheerd worden. Dat helpt de inspanningen rond compliance te stroomlijnen en beperkt de tijd en de midden die nodig zijn om tot compliance te komen.

4. Automatiseer patches en updates

Om zeker te zijn dat alle endpoints altijd alle noodzakelijke updates krijgen, is het belangrijk om deze taak te automatiseren. Handmatig werken kost niet alleen veel tijd, het verhoogt ook de kans op menselijke fouten. Tanium kent een geautomatiseerde workflow om patches over meerdere systemen te plannen, te implementeren en ook te verifiëren. Bovendien genereert de oplossing gedetailleerde rapporten over de status van patches. Dat maakt het een stuk makkelijker om compliant te blijven en bespaart veel tijd bij een audit.

5. Wees alert op risico’s in de supply chain

Organisaties werken steeds vaker met andere bedrijven of met contractors die toegang krijgen tot het netwerk. Het is belangrijk er zeker van te zijn dat ook deze partners compliant zijn en dat zij zichzelf afdoende beschermen. Anders loop je het risico dat bijvoorbeeld virusbesmettingen binnen komen via deze externe partij. De fout mag dan wel bij de derde partij liggen, voor DORA en NIS2 maakt dat geen verschil: jouw organisatie blijft verantwoordelijk.

De verplichtingen rond DORA en NIS2 worden volgend jaar van kracht, en bij veel bedrijven is er nog aardig wat werk aan de winkel. Het is dus de hoogste tijd om aan de slag te gaan. Rome is niet op één dag gebouwd, en compliant worden is ook een kwestie van stap voor stap vooruit te gaan, in de wetenschap dat de weg naar compliance lang is. Maar met de juiste reisgezel, Tanium bijvoorbeeld, wordt die trip alvast een stuk makkelijker.

(Wytze Rijkmans is Regional Vice-President Tanium)