Blog NIS2-richtlijn: Wat zijn voor u de consequenties?
Door Insight Editor / 30 Mar 2023 / Onderwerpen: Cybersecurity
Door Insight Editor / 30 Mar 2023 / Onderwerpen: Cybersecurity
Eind 2024 gaat er in Europa een nieuwe richtlijn van kracht zijn voor netwerk- en informatiebeveiliging: NIS2. Door de toename van cyberdreigingen en de grote maatschappelijke afhankelijkheid van IT, is gebleken dat de huidige richtlijnen niet meer toereikend zijn, waardoor strengere eisen vanuit de EU noodzakelijk worden. NIS2 volgt daarom de sinds 2018 bestaande NIS-richtlijn op en die gaat meer organisaties ‘dwingen’ om hun cybersecurity op orde te hebben. Ja, zeer waarschijnlijk ook die van jou.
NIS, oftewel Network & Information Systems, is een Europese richtlijn met als doel om binnen de EU de veerkracht en veiligheid van het netwerk en informatiesystemen te verbeteren. De NIS-richtlijn richt zich op essentiële sectoren zoals water, energie en telecom. Als bedrijven in deze sectoren uitvallen hebben ze vaak een ontwrichtende impact op economie en samenleving. De eerste NIS-richtlijn moest ervoor zorgen dat bedrijven in deze sectoren passende maatregelen doorvoerden om de veiligheid en continuïteit van hun netwerk- en informatiesystemen te waarborgen. Zo kwam er de meldplicht van datalekken aan toezichthoudende instanties en volgde boetes als de boel niet op orde bleek te zijn.
Nu is het zo dat ieder EU-land de implementatie en naleving van die regels zelf kon bepalen. Eind vorig jaar is daarom de NIS2-richtlijn gepubliceerd en geeft lidstaten tot 18 oktober 2024 de tijd om de veranderingen door te voeren en wet- en regelgeving aan te passen. Het zorgt ervoor dat:
Valt jouw bedrijf onder de NIS2-richtlijn dan heeft dat de nodige consequenties:
Het melden van die potentiële bedreigingen is wat mij betreft een zeer ingrijpende maatregel. Daar waar de eerste NIS-richtlijn je verplichtte om incidenten binnen 24 uur te melden, geldt dit bij NIS2 ook voor potentiële bedreigingen. Dit houdt in dat je IT-afdeling zeer actief aan de slag zal moeten gaan met monitoring en rapportages.
Hoe je straks moet gaan rapporteren staat nog niet helemaal vast en Q4 2024 lijkt nog best ver weg, maar uit ervaring weet ik dat actief monitoren ontzettend tijdrovend gaat zijn, laat staan het optimaal inrichten van je beveiliging. Dat laatste heb je nu al in de hand, dus wacht dan ook niet tot eind volgend jaar met het nalopen van je security en je procedures en start met het nalopen van de volgende aspecten:
Zoals je kunt zien komt heel wat kijken bij het inrichten en naleven van een solide beveiliging. Het betreft niet alleen de technologie, maar ook de processen binnen het bedrijf en de mensen die er werken. De bovenstaande lijst gaat je helpen met het bepalen van welke maatregelen je nog moet doorvoeren of aanscherpen om zo goed als mogelijk NIS2-ready te zijn.
Wil je meer weten over dit onderwerp of van gedachten wisselen, neem gerust contact met mij op.
Dirk de Goede
Security Solution Specialist Insight
Tel: 06 5775 0705
e-mail: dirk.degoede@insight.com