De toenemende toename van cyberbeveiligingsincidenten heeft de Europese Unie (EU) ertoe aangezet hard te kijken naar sectoren en leveranciers die, indien gecompromitteerd, mogelijk schadelijk kunnen zijn. Industrieën zoals energie, vervoer en financiën waren de belangrijkste aandachtspunten toen de leiders van de EU in 2016 bijeenkwamen om wetgeving inzake cyberbeveiliging op te stellen voor alle kritieke leveranciers in de EU. Met als doel de veerkracht van de leveranciers op het gebied van cyberbeveiliging te verbeteren, werd het eerste NIS-initiatief geboren.
De oorspronkelijke NIS-richtlijn werd door veel EU-lidstaten verschillend geïnterpreteerd, waardoor hiaten in de beveiliging ontstonden en de oorspronkelijke bedoeling van de richtlijn in twijfel werd getrokken. NIS2 is een update van de oorspronkelijke NIS-cyberbeveiligingsrichtlijn van de EU die deze hiaten oplost door voor te schrijven welke cyberbeveiligingspraktijken belangrijk zijn en welke essentiële leveranciers tegen 2024 moeten hebben ingevoerd, alsook hoe inbreuken aan de Europese autoriteiten moeten worden gemeld.
De nieuwe wetgeving legt strengere eisen op met betrekking tot risicobeheer, rapportage en informatie-uitwisseling op het gebied van cyberbeveiliging. Het is een reactie op de toenemende dreigingen als gevolg van de digitale transformatie en de toename van het aantal cyberaanvallen.
De nieuwe richtlijn bevat verplichtingen op grond waarvan de lidstaten nationale strategieën inzake cyberbeveiliging moeten vaststellen en bevoegde autoriteiten, autoriteiten voor cybercrisisbeheer, centrale contactpunten voor cyberbeveiliging en computercalamiteitenteams (CSIRT’s) moeten aanwijzen of oprichten. Welke organisaties of bedrijven vallen onder deze regelgeving? Check even deze link voor meer informatie https://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie
NIS2 beoogt minimumregels vast te stellen voor regelgevingskaders die door overheden en bedrijven worden gebruikt, waarbij duidelijkere en strengere minimummaatregelen inzake cyberbeveiliging worden vastgesteld.
Om aan de richtlijn te voldoen, moeten organisaties een risicogebaseerde aanpak van cyberbeveiliging hanteren en maatregelen nemen om netwerken en informatiesystemen te beschermen tegen cyberaanvallen op de belangrijkste aandachtsgebieden van NIS2:
- Toegangscontrole: Er moeten controles zijn om na te gaan wie toegang heeft tot hun netwerken en informatiesystemen, en de toegang te beperken tot alleen degenen die dat nodig hebben.
- Gegevensintegriteit: Alle op netwerken en systemen opgeslagen gegevens moeten veilig en accuraat zijn en kwaadwillige manipulatie voorkomen.
- Systeembeveiliging: Netwerken en systemen moeten worden beschermd tegen ongeoorloofde toegang of gebruik, met maatregelen als firewalls en antivirussoftware.
- Incidentenbeheer: Bedrijven moeten over processen beschikken om incidenten zoals cyberaanvallen en datalekken op te sporen, te beantwoorden en te beheren.
- Risicobeoordeling: Bedrijven moeten potentiële risico’s voor hun netwerken en informatiesystemen identificeren en beoordelen en maatregelen nemen om die risico’s te beperken.
NIS2 schrijft dus een verscheidenheid aan cyberbeveiligingsacties voor, met name met betrekking tot risicoanalyse, reactie op incidenten, bedrijfscontinuïteit en kwetsbaarheidsbeheer. SolidBE kan u helpen deze kwesties aan te pakken en heeft een reeks oplossingen waarmee organisaties hun security kunnen verbeteren.
