De NIS2 richtlijn komt dichterbij. Nog niet mee met het verhaal?
Wij geven nog even de samenvatting mee van wat het is en hoe je je kan voorbereiden.
In december 2022 heeft het Europees Parlement de NIS2-richtlijn voor de beveiliging van netwerk- en informatiesystemen aangenomen om een hoger niveau van cyberbeveiliging in de EU te waarborgen. Zie het als het technische broertje van de GDPR die organisaties in Europa regels rond privacy heeft opgelegd. Maar terwijl GDPR in de media breed is uitgesmeerd, tasten bedrijven op vlak van NIS2 toch veel meer in het duister.
Nu is het aan België om voor 17 oktober 2024 nieuwe wetgeving in te voeren die de bestaande NIS-wet vervangt.
Wat is de NIS2 richtlijn?
NIS staat voor netwerk-en informatiesystemen en al in 2016 is de eerste NIS-richtlijn gepubliceerd. Deze was met name bedoeld voor grote bedrijven en instellingen die essentiële functies binnen de samenleving vervullen. Het Europees Parlement heeft nu ingestemd met de invoering van een strengere versie hiervan in de vorm van een nieuwe wetgeving die strengere eisen aan bedrijven, overheden en infrastructuur stelt op het gebied van cyberbeveiliging.
Dat de NIS aan een upgrade toe was, blijkt uit de snelheid waarmee het aantal cyberaanvallen toeneemt en de impact die een incident op de samenleving heeft. Het is dan ook het doel van NIS2 om organisaties weerbaarder te maken tegen cyberaanvallen met potentieel om hun volledige business lam te leggen.
Daar kan toch geen enkel bedrijf iets op tegen hebben?
Voor wie?
Naast sectoren die al onder de huidige NIS-richtlijn vallen, worden nieuwe sectoren in het toepassingsgebied opgenomen. Iedereen die een essentiële dienst levert aan consumenten valt onder de nieuwe wet van NIS2. De grote vraag is wat er precies verstaan wordt onder 'essentieel'. Kleine organisaties zijn vrijgesteld, wel moet nog bepaald worden wat 'klein' is.
Overigens is het van belang dat er wordt gekeken naar de plaats van de organisatie in de toevoerketen. NIS2 geldt namelijk voor de gehele toevoerketen van de 'essentiële' organisatie. Dit heeft tot gevolg dat ook bedrijven die zelf geen essentiële activiteiten ontplooien, maar wel zaken doen met partijen die dat wel doen, onder de nieuwe richtlijn vallen.
Hoe bereid je je voor?
Wacht niet tot oktober 2024, maar begin nu al met het doorvoeren van maatregelen op het gebied van cybersecurity. Deze zaken kan je zelf al ondernemen om te zorgen voor een betere cyberhygiëne:
- Incidentenbeheer: zorg dat je in staat bent om een incident te detecteren en dat je weet wat er moet gebeuren. In veel organisaties is er geen enkele procedure of is niemand op de hoogte
- Incident Notificatie: ga na of je in staat bent om bewijsmateriaal na een incident op een goede manier te bewaren en over te dragen
- Continuïteit: om de juiste acties te ondernemen, moet je de impact op de bedrijfsvoering kunnen inschatten. Hoe gevaarlijk is het als een proces onderbroken wordt? Hoe lang kan je het volhouden vooraleer de business er onder lijdt?
- Access Controle: wie heeft toegang tot welk systeem en welke data?
- Security Awareness: het grootste risico zit tussen het keyboard en het scherm. Voorzie opleidingen voor je mensen, maak ze bewust van de gevaren zodat ze actief kunnen bijdragen om de weerbaarheid van de organisatie te vergroten
- Last but not least: neem een externe IT partner onder de arm. Wij zijn de experts en begeleiden jullie every step of the way!
Meer info over NIS2 of cybersecurity in het algemeen? We geven je graag advies!