Verhoog uw security maatregelen

vanwege de Europese security richtlijn NIS 2

Geldt NIS 2 ook voor uw bedrijf?

Lees verder en neem contact op!

In Europa geldt op dit moment de NIS 1 richtlijn voor essentiële bedrijven zoals water- en telecombedrijven. NIS staat voor Netwerk en Informatie Security. Met de NIS 2 richtlijn worden de cyber security eisen verhoogd door heel Europa en wordt de definitie voor bedrijven die essentiële diensten leveren uitgebreid. Het nieuwe voorstel gaat dus voor veel meer bedrijven gelden.

Waarom is een Nieuwe Versie van de NIS nodig?

Door de versnelde digitale transformatie is er een sterke stijging in het aantal phishing pogingen, malware en ransomware aanvallen.

network and information security european directive NIS 2 netwerk informatie basis maatregelen NCSC
NCSC basismaatregelen

De dreiging is daarmee sterk toegenomen en dat brengt nieuwe uitdagingen met zich mee. Dit vereist een aangepast beleid voor nieuwe cyber dreigingen. Elke onderbreking, zelfs als die zich in eerste instantie beperkt tot een enkele sector, kan een sneeuwbaleffect veroorzaken wat kan resulteren in verstrekkende en langdurige negatieve gevolgen voor de levering van diensten op de hele markt. Daarom heeft de Europese commissie het voorstel geaccepteerd voor moderne “Directive Security of Network and Information Systems” (NIS 2).

Belangrijkste Onderdelen van de NIS 2

Het nieuwe voorstel adresseert de tekortkomingen van NIS 1 en past zich aan naar de huidige behoeftes en toekomstige wensen.

  • Er vallen meer sectoren onder NIS 2 gebaseerd op het belang voor de economie en de samenleving. Middelgrote en grote bedrijven in geselecteerde sectoren worden opgenomen in het voorstel. Tegelijkertijd biedt het de lidstaten enige flexibiliteit om kleinere bedrijven met een hoog veiligheidsrisico profiel te identificeren.
  • Het verscherpt de security eisen voor bedrijven door het opleggen van een aanpak voor risicobeheersing, met een lijst van minimale basisbeveiliging elementen die toegepast moeten worden.
  • Er wordt geen onderscheid meer gemaakt tussen exploitanten van essentiële diensten en aanbieders van digitale diensten. Organisaties worden geclassificeerd op basis van hun belang en onderverdeeld in essentiële en belangrijke categorieën, met als gevolg dat ze aan verschillende toezichtregimes worden onderworpen.
  • Van individuele bedrijven wordt vereist dat zij security risico’s in toeleveringsketens en leveranciersrelaties aanpakken.
  • Er komen strengere toezichtmaatregelen voor nationale autoriteiten, strengere handhaving vereisten en harmonisatie van sanctieregelingen en rapportageverplichtingen in de lidstaten.

Wanneer gaat de NIS 2 Richtlijn gelden in Nederland?

In het eerste kwartaal van 2023 is de ingangsdatum van de richtlijn en daarmee definitief geldig. Dan is het aan de verschillende Europese landen om de richtlijn binnen 18 maanden uit te voeren. De Nederlandse organisaties dienen daarmee in oktober 2024 te voldoen en zullen vanaf dan aansprakelijk worden gehouden.

Voor welke Bedrijven?

Bedrijven met < 50 medewerkers en < 10 miljoen euro omzet hoeven zich niet druk te maken om de wet. Maar Let op er zijn uitzonderingen. Lever een bedrijf essentiële diensten aan consumenten? Dan valt die onder het nieuwe voorstel. Dit telt ook voor kleine dienstverleners. Het is op dit moment nog niet helemaal duidelijk wat er precies onder essentieel wordt verstaan. De verwachting is dat internet service providers, kleine fabrieken en bedrijven die te maken hebben met water of energie als essentieel worden gezien.

Welke maatregelen staan er in de Wet?

Maatregelen voor het beheer van cyberbeveiligingsrisico’s  omvatten ten minste het volgende:

  • Een beleid inzake risicoanalyse en beveiliging van informatiesystemen;
  • Een proces voor incidentenbehandeling;
  • Bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer;
  • De beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
  • De beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
  • Een beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
  • De basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging (zie hieronder de NCSC basismaatregelen);
  • Een beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
  • Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
  • Wanneer gepast, het gebruik van multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.

Wat zijn de NCSC basismaatregelen?

  • Zorg dat elke applicatie en elk systeem voldoende loginformatie genereert
  • Pas multifactor authenticatie toe waar nodig
  • Bepaal wie toegang heeft tot uw data en diensten
  • Segmenteer netwerken
  • Versleutel opslagmedia met gevoelige bedrijfsinformatie
  • Controleer welke apparaten en diensten bereikbaar zijn vanaf het internet en bescherm deze
  • Maak regelmatig back-ups van uw systemen en test deze
  • Installeer software-updates

Organiseer CYBER SECURITY in jouw bedrijf