Drie maatregelen die organisaties nu al kunnen nemen in voorbereiding op NIS2

  1. 29 aug 2023
  2. 0 reacties

GDATA2

De nieuwe Europese cyberveiligheidswet – NIS2 - die op de tekentafel ligt, vereist actie van veel organisaties. De wet creëert een algemene cyberbeveiligingstandaard op Europees niveau voor bedrijven die (in)direct actief zijn in kritieke sectoren en ketens. Dat betekent dat een flink aantal bedrijven onder deze wetgeving zal vallen, terwijl veel organisaties zich hier mogelijk (nog) niet van bewust zijn.

En dat is een probleem, want er zijn aanzienlijke aanpassingen nodig om te voldoen aan de nieuwe standaard. Het overtreden van NIS2 kan organisaties duur komen te staan, reken op een boete ter hoogte van 2% van de (wereldwijde) omzet. Maar wat houdt de wet precies in en welke securitymaatregelen kunnen organisaties nu al nemen? G DATA CyberDefense geeft tips.
 
Nieuw: de zorg- en meldplicht
NIS2 is de tweede generatie van deze richtlijn en bestaat uit twee belangrijke elementen; de zorgplicht en de meldplicht. De zorgplicht stelt dat bedrijven overzicht moeten hebben over hun gehele infrastructuur: alle activiteiten op het netwerk moeten gemonitord worden. Tegelijkertijd zorgt de meldplicht ervoor dat organisaties alle cyberincidenten binnen 24 uur moeten melden. Daarnaast moet er binnen een maand een rapport beschikbaar zijn met de indicatoren en de ernst van het incident.
 
Aangezien de reikwijdte van de wet flink is toegenomen, treft de maatregel veel bedrijven. Denk bijvoorbeeld aan overheidsdiensten, service providers en bedrijven in de voedingsindustrie. De zorg- en meldplicht biedt een oplossing voor het versnipperde cybersecuritylandschap en zal de cyberveiligheid naar verwachting aanzienlijk verbeteren. Gezien de sterke toename van het aantal cyberaanvallen en hun toenemende schade is dat geen overbodige luxe.
 
Tijdig maatregelen nemen
Om hoge boetes en schade door cyberincidenten te voorkomen, is het zaak om de IT-infrastructuur vóór invoering van de wet op orde te hebben. Maar wat kun je nu al doen? Check of jouw bedrijf onder de nieuwe NIS2-wetgeving valt. Zo ja? Dan is het tijd voor actie. Wat kun je nu al doen?
 
1.      Inventariseer hoe het gesteld is met de cyberveiligheid binnen de organisatie. Wat zijn de huidige maatregelen en protocollen. Zijn de gegevens nog actueel? In hoeverre zijn werknemers op de hoogte? Worden er trainingen georganiseerd? Is er een crisisplan? NIS2 vereist de implementatie van tweefactorauthenticatie, bedrijfsbrede beveiligingstrainingen en risico- en calamiteitenmanagement. Er zullen regelmatiger audits plaatsvinden, het is dus zaak actie te ondernemen.
 
2.      Start met het opzetten van een Security Operation Center (SOC) om bedrijfsactiviteiten te monitoren. De implementatie hiervan kan eventueel worden uitbesteed, het kan namelijk erg kostbaar zijn om alle apparatuur hiervoor aan te schaffen en personeel hiervoor in te zetten. Uitbesteden is daarom zeker voor kleinere bedrijven een interessante optie. In elk geval is het belangrijk om op tijd te beginnen, het opzetten van een SOC is arbeidsintensief en het tijdsbestek is kort (uiterlijk 17 oktober 2024 wordt NIS2 van kracht).
 
3.      Voer regelmatige controles uit. NIS2 toetst geregeld de naleving van de wet. Om zeker te zijn dat alle maatregelen naar behoren werken, kunnen organisaties pentests uitvoeren waarmee zwakke punten aan het licht worden gebracht. Het is van belang dit regelmatig te doen gezien de strakke deadlines die de wetgeving hanteert.
 
Door nu al maatregelen te implementeren, zijn organisaties voorbereid op de daadwerkelijke invoering van de wet. Het lijkt een flinke investering, maar uiteindelijk tilt de wet cybersecurity binnen Europa naar een hoger niveau. En dat komt iedere organisatie ten goede.
 
Dossiers
Meer over
Lees ook
Storage-virtualisatie: nieuw wapen in strijd tegen cybercriminelen

Storage-virtualisatie: nieuw wapen in strijd tegen cybercriminelen

Wanneer een DDoS-aanval op de organisatie plaatsvindt of cybercriminelen op een andere manier proberen de business-operatie van een bedrijf of overheidsorganisatie negatief te beïnvloeden, reageren veel IT-afdelingen door tal van security-tools in te zetten. Wie IT-beveiliging echter vooral vanuit oogpunt van business continuity bekijkt, komt al s1

ESET publiceert voorbeelden van scam-mails

ESET publiceert voorbeelden van scam-mails

Sommige scam-mails zijn bijna hilarisch amateuristisch. Maar andere pogingen zijn soms griezelig 'echt' en nauwelijks te onderscheiden van legitieme mails. Een mooi voorbeeld publiceert ESET op zijn website We Live Security: een mail van een Chinese firma die zich voordoet als een 'domain name registration supplier' die bedoeld is om te checken of1

Biometrie voor enterprise security: zinvol of onzinnig?

Nu steeds meer smartphones voorzien worden van biometrische sensoren, komt ook de vraag op wat dit soort security-maatregelen betekenen voor enterprise-organisaties? Richard Moulds, vice president Strategy bij Thales e-Security, vraagt zich in een artikel op Help Net Security af of biometrie voor zakelijk gebruik zinvol is. Of juist onzinnig? Een interessant punt dat Moulds aanstipt is de vraag of het aantal tokens bij gebruik van fingerprint scanners wel groot genoeg is. Bij gebruik van traditionele hardware tokens kunnen we putten uit een nagenoeg onbeperkt aantal tokens. Maar bij gebruik v1