Drie maatregelen die organisaties nu al kunnen nemen in voorbereiding op NIS2
De nieuwe Europese cyberveiligheidswet – NIS2 - die op de tekentafel ligt, vereist actie van veel organisaties. De wet creëert een algemene cyberbeveiligingstandaard op Europees niveau voor bedrijven die (in)direct actief zijn in kritieke sectoren en ketens. Dat betekent dat een flink aantal bedrijven onder deze wetgeving zal vallen, terwijl veel organisaties zich hier mogelijk (nog) niet van bewust zijn.
En dat is een probleem, want er zijn aanzienlijke aanpassingen nodig om te voldoen aan de nieuwe standaard. Het overtreden van NIS2 kan organisaties duur komen te staan, reken op een boete ter hoogte van 2% van de (wereldwijde) omzet. Maar wat houdt de wet precies in en welke securitymaatregelen kunnen organisaties nu al nemen? G DATA CyberDefense geeft tips.
Nieuw: de zorg- en meldplicht
NIS2 is de tweede generatie van deze richtlijn en bestaat uit twee belangrijke elementen; de zorgplicht en de meldplicht. De zorgplicht stelt dat bedrijven overzicht moeten hebben over hun gehele infrastructuur: alle activiteiten op het netwerk moeten gemonitord worden. Tegelijkertijd zorgt de meldplicht ervoor dat organisaties alle cyberincidenten binnen 24 uur moeten melden. Daarnaast moet er binnen een maand een rapport beschikbaar zijn met de indicatoren en de ernst van het incident.
Aangezien de reikwijdte van de wet flink is toegenomen, treft de maatregel veel bedrijven. Denk bijvoorbeeld aan overheidsdiensten, service providers en bedrijven in de voedingsindustrie. De zorg- en meldplicht biedt een oplossing voor het versnipperde cybersecuritylandschap en zal de cyberveiligheid naar verwachting aanzienlijk verbeteren. Gezien de sterke toename van het aantal cyberaanvallen en hun toenemende schade is dat geen overbodige luxe.
Tijdig maatregelen nemen
Om hoge boetes en schade door cyberincidenten te voorkomen, is het zaak om de IT-infrastructuur vóór invoering van de wet op orde te hebben. Maar wat kun je nu al doen? Check of jouw bedrijf onder de nieuwe NIS2-wetgeving valt. Zo ja? Dan is het tijd voor actie. Wat kun je nu al doen?
1. Inventariseer hoe het gesteld is met de cyberveiligheid binnen de organisatie. Wat zijn de huidige maatregelen en protocollen. Zijn de gegevens nog actueel? In hoeverre zijn werknemers op de hoogte? Worden er trainingen georganiseerd? Is er een crisisplan? NIS2 vereist de implementatie van tweefactorauthenticatie, bedrijfsbrede beveiligingstrainingen en risico- en calamiteitenmanagement. Er zullen regelmatiger audits plaatsvinden, het is dus zaak actie te ondernemen.
2. Start met het opzetten van een Security Operation Center (SOC) om bedrijfsactiviteiten te monitoren. De implementatie hiervan kan eventueel worden uitbesteed, het kan namelijk erg kostbaar zijn om alle apparatuur hiervoor aan te schaffen en personeel hiervoor in te zetten. Uitbesteden is daarom zeker voor kleinere bedrijven een interessante optie. In elk geval is het belangrijk om op tijd te beginnen, het opzetten van een SOC is arbeidsintensief en het tijdsbestek is kort (uiterlijk 17 oktober 2024 wordt NIS2 van kracht).
3. Voer regelmatige controles uit. NIS2 toetst geregeld de naleving van de wet. Om zeker te zijn dat alle maatregelen naar behoren werken, kunnen organisaties pentests uitvoeren waarmee zwakke punten aan het licht worden gebracht. Het is van belang dit regelmatig te doen gezien de strakke deadlines die de wetgeving hanteert.
Door nu al maatregelen te implementeren, zijn organisaties voorbereid op de daadwerkelijke invoering van de wet. Het lijkt een flinke investering, maar uiteindelijk tilt de wet cybersecurity binnen Europa naar een hoger niveau. En dat komt iedere organisatie ten goede.