Drie maatregelen die organisaties nu al kunnen nemen in voorbereiding op NIS2

GDATA2

De nieuwe Europese cyberveiligheidswet – NIS2 - die op de tekentafel ligt, vereist actie van veel organisaties. De wet creëert een algemene cyberbeveiligingstandaard op Europees niveau voor bedrijven die (in)direct actief zijn in kritieke sectoren en ketens. Dat betekent dat een flink aantal bedrijven onder deze wetgeving zal vallen, terwijl veel organisaties zich hier mogelijk (nog) niet van bewust zijn.

En dat is een probleem, want er zijn aanzienlijke aanpassingen nodig om te voldoen aan de nieuwe standaard. Het overtreden van NIS2 kan organisaties duur komen te staan, reken op een boete ter hoogte van 2% van de (wereldwijde) omzet. Maar wat houdt de wet precies in en welke securitymaatregelen kunnen organisaties nu al nemen? G DATA CyberDefense geeft tips.
 
Nieuw: de zorg- en meldplicht
NIS2 is de tweede generatie van deze richtlijn en bestaat uit twee belangrijke elementen; de zorgplicht en de meldplicht. De zorgplicht stelt dat bedrijven overzicht moeten hebben over hun gehele infrastructuur: alle activiteiten op het netwerk moeten gemonitord worden. Tegelijkertijd zorgt de meldplicht ervoor dat organisaties alle cyberincidenten binnen 24 uur moeten melden. Daarnaast moet er binnen een maand een rapport beschikbaar zijn met de indicatoren en de ernst van het incident.
 
Aangezien de reikwijdte van de wet flink is toegenomen, treft de maatregel veel bedrijven. Denk bijvoorbeeld aan overheidsdiensten, service providers en bedrijven in de voedingsindustrie. De zorg- en meldplicht biedt een oplossing voor het versnipperde cybersecuritylandschap en zal de cyberveiligheid naar verwachting aanzienlijk verbeteren. Gezien de sterke toename van het aantal cyberaanvallen en hun toenemende schade is dat geen overbodige luxe.
 
Tijdig maatregelen nemen
Om hoge boetes en schade door cyberincidenten te voorkomen, is het zaak om de IT-infrastructuur vóór invoering van de wet op orde te hebben. Maar wat kun je nu al doen? Check of jouw bedrijf onder de nieuwe NIS2-wetgeving valt. Zo ja? Dan is het tijd voor actie. Wat kun je nu al doen?
 
1.      Inventariseer hoe het gesteld is met de cyberveiligheid binnen de organisatie. Wat zijn de huidige maatregelen en protocollen. Zijn de gegevens nog actueel? In hoeverre zijn werknemers op de hoogte? Worden er trainingen georganiseerd? Is er een crisisplan? NIS2 vereist de implementatie van tweefactorauthenticatie, bedrijfsbrede beveiligingstrainingen en risico- en calamiteitenmanagement. Er zullen regelmatiger audits plaatsvinden, het is dus zaak actie te ondernemen.
 
2.      Start met het opzetten van een Security Operation Center (SOC) om bedrijfsactiviteiten te monitoren. De implementatie hiervan kan eventueel worden uitbesteed, het kan namelijk erg kostbaar zijn om alle apparatuur hiervoor aan te schaffen en personeel hiervoor in te zetten. Uitbesteden is daarom zeker voor kleinere bedrijven een interessante optie. In elk geval is het belangrijk om op tijd te beginnen, het opzetten van een SOC is arbeidsintensief en het tijdsbestek is kort (uiterlijk 17 oktober 2024 wordt NIS2 van kracht).
 
3.      Voer regelmatige controles uit. NIS2 toetst geregeld de naleving van de wet. Om zeker te zijn dat alle maatregelen naar behoren werken, kunnen organisaties pentests uitvoeren waarmee zwakke punten aan het licht worden gebracht. Het is van belang dit regelmatig te doen gezien de strakke deadlines die de wetgeving hanteert.
 
Door nu al maatregelen te implementeren, zijn organisaties voorbereid op de daadwerkelijke invoering van de wet. Het lijkt een flinke investering, maar uiteindelijk tilt de wet cybersecurity binnen Europa naar een hoger niveau. En dat komt iedere organisatie ten goede.
 
Dossiers
Lees ook
Cloudflare-rapport maakt inzichtelijk dat organisaties moeilijkheden ondervinden bij het identificeren en beheren van cyberrisico's van API's

Cloudflare-rapport maakt inzichtelijk dat organisaties moeilijkheden ondervinden bij het identificeren en beheren van cyberrisico's van API's

Cloudflare heeft het API Security & Management Report gepubliceerd. Dit rapport onthult dat API's meer dan ooit worden ingezet, waardoor bedrijven de deur wijd openzetten voor meer online bedreigingen dan we eerder hebben meegemaakt. Het rapport maakt inzichtelijk dat er een kloof bestaat tussen het gebruik van API’s door bedrijven en hun vermogen om...

Slechts vijf procent Nederlandse bedrijven op de hoogte van securitybeleid (keten)partners

Slechts vijf procent Nederlandse bedrijven op de hoogte van securitybeleid (keten)partners

De meeste bedrijven die onder de NIS2-wetgeving gaan vallen, zijn niet bekend met het securitybeleid van (keten)partners. Slechts vijf procent beschikt over deze kennis. Dit blijkt uit onderzoek van Telindus onder meer dan 150 CXO’s en managers met kennis van IT binnen bedrijven met 250 of meer medewerkers.

Mark Slagmolen van ProLion: ‘Databeveiliging kent meerdere stakeholders’

Mark Slagmolen van ProLion: ‘Databeveiliging kent meerdere stakeholders’

ProLion was uiteraard ook dit jaar weer aanwezig op Cloud Expo. Regional Manager Benelux, Frankrijk en Nordics Mark Slagmolen gaf twee presentaties over databeveiliging bij ondernemingen en overheden. De rol van resellers is enorm belangrijk bij het vergroten van die security, maar toch hoort Mark regelmatig dat het moeite kost om dit onderwerp bij...