Nieuwe richtlijnen vanuit de EU zetten de ICT-wereld weer op scherp. De toenemende agressie, dreiging en afhankelijkheid verplicht de lidstaten, om het beleid rondom cyber security aan te scherpen. In 2023 doet de NIS2 zijn intrede. Krijgt jouw organisatie hier ook mee te maken en waar moet je straks dan aan voldoen? Jan Swaters, technisch directeur bij PCI, vertelt je meer over de veranderingen die deze maatregel met zich meebrengt.
De term NIS staat voor Network and Information Systems. Deze term is niet nieuw binnen de ICT. In 2012 werden de eerste NIS-richtlijnen opgesteld. In Nederland zorgde dit voor de WBNI-wet. Het doel van de NIS is om binnen de EU een succesvol cybersecuritybeleid op te stellen, zodat lidstaten onderling kunnen samenwerking. De WBNI-wet was tot nu toe alleen van toepassing voor vitale sectoren, binnen Nederland. De NIS2 breidt het aantal sectoren uit. Jan: ‘’De NIS uit 2012 is in onze huidige tijd niet meer toereikend. Het aantal gevaren en onze bijkomende afhankelijkheid rondom ICT, maakt dat bedrijven moeten gaan nadenken over het beveiligen van hun informatiesystemen. De richtlijnen van de NIS zijn aangescherpt. Bij een datalek, hack of bij het wegvallen van de ICT, zouden alle burgers tegenwoordig hulpeloos zijn’’
De NIS2 schrijft voor dat alle bedrijven, waarbij de continuïteit van de dienstverlening van essentieel belang is voor een grote groep burgers, passende technische en organisatorische maatregelen moet nemen voor het beveiligen van hun informatiesysteem. Maar, wat houdt dit precies in? ‘’Door de komst van NIS2 is het aantal bedrijven dat hun veiligheidsbeleid op poten moet hebben, toegenomen. Van energiebedrijven tot ICT-leveranciers aan vitale sectoren. Online is er een checklijst gepubliceerd om te controleren wie er binnen deze groep valt. Deze bedrijven moeten maatregelen nemen voor het aanscherpen van hun beveiliging. Een hack of datalek is nooit voor 100% uit te sluiten. Maar…je kan wel door gelaagdheid aan te brengen binnen jouw beveiliging, het risico zo laag mogelijk houden. Ga daarbij niet vertrouwen op één systeem. Zorg dat je meerdere beveiligingssystemen hebt die elkaar overlappen, samenwerken en controleren. Ook moet je toegang hebben tot een forensisch team, onderhandelaren en personen die jouw netwerk kunnen herstellen na een incident. Door NIS2 worden bedrijven gedwongen hierover na te denken. Ze moeten een plan maken. Zo voorkom je paniek, kan je direct actie ondernemen en handelen om de schade te beperken. Neem hierin als bedrijf je verantwoordelijkheid.’’
De ringdeurbel, betalingssystemen, bedrijfsinformatie en persoonlijke informatie; al onze informatie vertrouwen wij toe aan het digitale landschap. De afhankelijkheid is enorm. Deze afhankelijkheid is aantrekkelijk voor cybercriminelen. De afgelopen jaren is het aantal (betaalde) bedreigingen enorm toegenomen. Hackers vragen grote sommen met geld voor het vrijgeven van gestolen informatie. De NIS2 dwingt bedrijven om de informatie van de burger te beschermen. Jan: ‘’de implementatie van NIS2 is voor sommige bedrijven intens. Ze weten vaak niet welke acties ze moeten ondernemen. Ook moet je er de capaciteit voor hebben. Met een beetje geluk, heb je meerdere ICT’ers in huis. Deze moeten een strijd leveren tegen duizenden hackers. Een oneerlijke strijd. Het opvoeren van je beveiliging brengt flink wat kosten met zich mee. Echter, heb je als bedrijf geen keus. Je moet gewapend zijn.’’
‘’Voordat je in extreme informatiebeveiligingsmaatregelen duikt, is het belangrijk om eerst het huidige beveiligingsbeleid en de huidige maatregelen te onderzoeken. Identificeer alle mogelijke risico’s. Bedrijven moeten nadenken over: de locatie van hun informatie, wie verantwoordelijk is voor de beveiliging ervan, wie moet worden geïnformeerd en of zij de juiste persoon zijn voor de functie. Ik kom dan weer terug op het belang van gelaagdheid in de beveiliging. Voorkom dat je informatie kwetsbaar wordt door op één enkel systeem te vertrouwen. Denk aan antivirussoftware, eindpuntdetectie en -respons, netwerkdetectie en -respons, monitoringdetectie en -respons, e-mailbeveiligingsgateway, firewalls, back-ups en back-upstrategieën, biometrische beveiliging en multifactorauthenticatie. Een sterk securitybeleid is een complexe architectuur die afhankelijk is van de organisatie en ICT-infrastructuur, ook wel ‘security by design’ genoemd. Het regelmatig testen en evalueren van de effectiviteit van de genomen maatregelen, is van belang om de risicoanalyse compleet te maken. Zo krijg je inzichtelijk welke aspecten eventueel ontbreken.’’ aldus het advies van Jan.
De NIS2 verplicht bedrijven tot een Incident Response plan. Met dit plan is jouw organisatie voorbereid op een crisissituatie. Het plan beschrijft stap voor stap welke actie je moet ondernemen. Zo bereid jij de organisatie voor, bespaar je kosten, minimaliseer je herstelwerkzaamheden én creëer je rust in de chaos. Jan bevestigt dit. ‘’Een uitgedacht, adequaat risicoplan is in onze tijd geen overbodige luxe’’.
Het opbouwen van een crisismanagement- en communicatieteam is cruciaal. Het team bestaat uit:
Jan voegt hieraan toe: ‘’Het trainen van werknemers om ze bewust te maken van hun rol in cyberbeveiliging is ook belangrijk, aangezien zij dagelijkse gebruikers van het netwerk zijn en toegang hebben tot gevoelige bedrijfsinformatie.’’
Een plan zonder test is geen plan, aldus Jan Swaters. Hij vervolgt: ‘’Het is natuurlijk best lastig om een noodsituatie te simuleren, omdat je de operationele systemen draaiende wilt houden. Toch, is het testen, evalueren en aanpassen van het plan noodzakelijk om de effectiviteit ervan te waarborgen. Bedrijven moeten basismaatregelen nemen zoals: het opstellen van beveiligingsbeleid en -procedures, het uitvoeren van risicoanalyses, het monitoren van netwerken en systemen en het implementeren van passende beveiligingsmaatregelen. Deze maatregelen zijn door de NIS2 vereist voor aanbieders van essentiële diensten en aanbieders van digitale diensten. Weet jij niet hoe je een noodsituatie moet nabootsen? Dan zijn er bedrijven die jou helpen in het uitvoeren van een audit.’’
Wil je in 2 minuten zien wat NIS2 betekent? Bekijk hier de video. Bekijk de NIS2 video (2 min)
Wil je meer informatie of heb je een vraag? Neem contact met mij op en ik help je graag verder.