Bereid je voor op de nieuwe richtlijnen van NIS 2 en DORA
De komende twaalf maanden gaan bedrijven in de Europese Unie aanzienlijk investeren in cybersecurity weerbaarheid. Dit komt niet als verrassing. De EU wil namelijk met een nieuwe wetgeving de cyberweerbaarheid van organisaties in de burgerlijke dienstverlening verbeteren. Organisaties doen er verstandig aan zich zo goed mogelijk voor te bereiden op de nieuwe richtlijnen. Dit kan door het raadplegen van de beschikbare informatie en te anticiperen op de veranderingen.
De richtlijn (EU) 2022/2555, beter bekend als Network & Information Systems (NIS) Regulations ‘NIS 2-richtlijn’, wordt in oktober 2024 vastgelegd in de nationale wetgeving. De Verordening (EU) 2022/2554 voor digitale operationele veerkracht in de financiële sector, DORA, gaat vanaf januari 2025 van kracht.
Wat verandert er?
De NIS 2-richtlijn legt de nadruk op de verantwoordelijkheden die lidstaten moeten implementeren in nationale strategieën en processen. Ook bevordert het de samenwerking tussen incidentbestrijdingsgroepen in heel de Europese Unie.
De NIS 2-richtlijn breidt organisatiesectoren uit die voorheen onder de NIS-richtlijn van 2016 (Richtlijn (EU) 2016/1148) vielen. Elf kritische sectoren, zoals energie, transport, financiën, gezondheid, afvalwater, openbaar bestuur en ruimtevaart, zijn essentiële NIS 2 entiteiten. De nieuwe richtlijn voegt daar nog zeven andere cruciale sectoren aan toe, waaronder post- en koeriersdiensten en industrie.
De reikwijdte van NIS 2 hangt af van de omvang van de organisatie en de mogelijke impact die de verstoring van de entiteit kan achterlaten op de openbare veiligheid, security en gezondheid.
Maatregelen voor risicomanagement
Artikel 21 van NIS 2 noemt tien gebieden die organisaties moeten opnemen in hun maatregelen voor risicomanagement op het gebied van cybersecurity. Hieronder vallen beleidsregels voor risicoanalyse, incidentafhandeling, supply chain security, cybersecuritytraining en het gebruik van multi-factor authenticatie (MFA). Onderzoekers van Proofpoint verwachten dat organisaties de security in deze gebieden de aankomende maanden verbeteren.
Rapportage
De NIS 2-richtlijn legt het volgende op:
-
Bedrijven moeten significante incidenten binnen 24 uur melden als vroegtijdige waarschuwing bij het juiste Computer Security Incident Response Team (CSIRT) of de bevoegde autoriteiten.
-
Bedrijven moeten binnen 72 uur een beoordeling met daarin een omschrijving van de impact en ernst voorleggen.
-
Bedrijven moeten uiterlijk een maand na de beoordeling een gedetailleerd rapport met een analyse van de onderliggende oorzaak indienen.
Sancties en boetes
De NIS 2-richtlijn bepaalt dat lidstaten boetes kunnen opleggen tot 10 miljoen euro, of 2% van de totale wereldwijde jaaromzet voor noodzakelijke entiteiten. Een andere mogelijkheid is een boete van 7 miljoen euro of 1,4% van de totale wereldwijde jaaromzet voor belangrijke entiteiten.
Verantwoording
Artikel 32 benadrukt waarom een entiteit verantwoordelijkheid moet nemen voor beslissingen met betrekking tot het inperken van cybersecurityrisico's. Daarnaast stelt het artikel dat bevoegde autoriteiten van EU-lidstaten certificaten van entiteiten, die hen toestaan diensten aan te bieden of activiteiten uit te voeren, tijdelijk kunnen schorsen. Deze autoriteiten kunnen ook CEO’s of wettelijke vertegenwoordigers verbieden leidinggevende taken uit te voeren.
Bovendien zijn organisaties volgens NIS 2 verplicht om lokale inspecties en regelmatige securityaudits te accepteren. Ook moeten zij op verzoek bewijs leveren voor de uitvoering van hun cybersecuritybeleid. Autoriteiten kunnen getroffen organisaties ook opdragen tot het openbaar maken van NIS 2-schendingen.
Risico's voor derden
Veel organisaties zijn zich inmiddels bewust van de risico's die ontstaan bij het vormen van relaties in de supply chain. NIS 2 benadrukt het belang van de security van de supply chain. Bijvoorbeeld door het uitvoeren van risk assessments op de supply chain van ICT-producten en het nauwkeurig inspecteren van de relatie tussen de entiteit en de leveranciers.
Daarnaast maakt NIS 2 informatie-uitwisseling tussen gemeenschappen van entiteiten en leveranciers - ondersteund door ENISA - mogelijk. Deze informatie omvat dreigingen, Indicators of Compromise (IOC), tactieken van dreigingsactoren en aanbevelingen voor de configuratie van tools. Dit vergroot de weerbaarheid van de supply chain industrie.
Wanneer moet je klaar zijn?
De NIS 2-richtlijn is in december 2022 opgenomen in het officiële publicatieblad van de Europese Unie. De lidstaten moeten de maatregelen die nodig zijn om aan de NIS 2-richtlijnen te voldoen, uiterlijk op 17 oktober 2024 publiceren en vanaf 18 oktober 2024 toepassen.
Wat nu?
Het bepalen of de inspanningen van een organisatie voldoen aan de verwachte maatregelen kan uitdagend zijn. Maar, het is wel duidelijk wat de NIS 2-richtlijnen zijn. Organisaties moeten werken aan het begrijpen van de huidige capaciteiten en tekortkomingen. Door dit in kaart te brengen, verbeteren ze de cyberweerbaarheid en het securityniveau.
Carl Leonard, Cybersecurity Strategist EMEA bij Proofpoint