NIS2 komt eraan. Dat is belangrijk nieuws voor 18 essentiële sectoren. Van overheden tot supermarkten en van havens tot zorginstellingen. Zij zijn verplicht om zich aan de nieuwe wet- en regelgeving van de Europese Unie te houden. Al zou in een ideale wereld natuurlijk iedereen zijn cyberbeveiliging op orde hebben.
Toename van cybercriminaliteit
De afgelopen jaren hebben cybercriminelen het steeds vaker gemunt op bedrijven en overheden. Met ransomware aanvallen zorgen hackers ervoor dat bestanden en systemen worden geïnfecteerd. In de ergste gevallen kan de schade zelfs niet meer hersteld worden. Het spreekt voor zich dat een cyberaanval vervelende consequenties kan hebben voor jouw organisatie. Niet alleen loopt de continuïteit van de organisatie gevaar, cybercriminelen vragen vaak ook hoge bedragen (in crypto) om de gegijzelde bestanden en systemen weer vrij te geven.
Niet zo gek dus dat de Europese Unie met de nieuwe NIS2-regelgeving wil zorgen dat de cyberveiligheid van essentiële sectoren wordt verbeterd.
Een wirwar aan verhalen over NIS2
Er gaan veel verhalen rond over NIS2. Als je niet voldoet aan de regelgeving kan je hoge boetes opgelegd krijgen. Deze kunnen oplopen tot wel 2% van de jaaromzet. Daarnaast kan je als bestuurder aansprakelijk worden gesteld als blijkt dat je niet genoeg maatregelen hebt getroffen. Dat zijn zware consequenties. Maar waar moet je nou precies aan voldoen?
Organisaties moeten niet alleen hun eigen cyberveiligheid op orde hebben maar ook het cybersecurityniveau van alle ketenpartners in kaart brengen. Hierdoor ontstaat een wildgroei aan vragenlijsten en papierwerk. Het gevolg: op papier kan een keten veilig lijken, maar in de praktijk zien organisaties vaak door de bomen het bos niet meer. Daarnaast trekken hackers zich niet zo veel aan van papierwerk. Als er een lek te vinden is in de keten dan zullen zij daar gretig gebruik van maken.
Wij vinden het daarom belangrijk om terug te gaan naar de kern. Uitleggen wat organisaties nodig hebben om hun cyberveiligheid op orde te krijgen. Zo minimaliseer je de kans dat hackers jouw organisatie kwaad kunnen doen én voldoe je aan de richtlijnen van NIS2.
In het kort: dit is de nieuwe NIS2
NIS staat voor Network and Information Systems. In 2016 kwam de eerste NIS-richtlijn uit. Hiermee ontstond een Europees beleid voor netwerk- en informatiebeveiliging. Onder andere banken en energiebedrijven vielen al onder de eerste richtlijn. Nu NIS2 in het leven is geroepen, is de lijst met sectoren die aan de regelgeving moet voldoen sterk uitgebreid. Benieuwd of jouw organisatie aan de nieuwe NIS2 moet voldoen? Je vindt de volledige lijst bij Kenniscentrum Europa Decentraal.
In de basis bevat de NIS-regelgeving 2 belangrijke pijlers:
1) De zorgplicht: organisaties zijn verplicht om de complete IT-infrastructuur op orde te hebben en het verkeer op het eigen netwerk te monitoren.
2) De meldplicht: wanneer een cyberincident plaatsvindt, dan is een organisatie verplicht om dit te melden binnen 72 uur.
Om dit allemaal op orde te krijgen en te houden kan het verstandig zijn om een specialistische partij in te schakelen. Hieronder lees je wat Computest Security voor jouw organisatie kan betekenen.
Een SOC om alle netwerken en systemen 24/7 in de gaten te houden
We benoemden het al, één van de belangrijkste pijlers van de NIS2 is dat jouw IT-infrastructuur goed gemonitord moet worden. Hiervoor kan je een SOC (Security Operation Center) inrichten. In een SOC wordt alles 24/7 in de gaten gehouden. Vindt er een security incident plaats? Dan wordt dat in een SOC snel opgemerkt en kan je op tijd voldoen aan de meldingsplicht. Om dit mogelijk te maken heb je voldoende personeel en de juiste apparatuur nodig. Als je zelf niet de capaciteit en kennis in huis hebt, kan het verstandig zijn om een SOC uit te besteden bij een professionele partij.
Schakel je Computest Security in voor het inrichten en beheren van jouw SOC? Dan kijken we vanuit een security-breed perspectief naar wat jouw organisatie het beste kan doen om zichzelf te beschermen.
Aanvullende diensten om je cyberweerbaarheid te vergroten
Het is belangrijk om te weten waar jouw organisatie staat op het gebied van cyberveiligheid en hoe het gesteld is met jouw toeleveranciers. Iedere organisatie zit anders in elkaar. De ene organisatie maakt wellicht nauwelijks gebruik van externe partijen terwijl de ander er afhankelijk van is. Iedere organisatie heeft daarom zijn eigen cyberrisico’s en op maat gemaakte oplossingen nodig om op het gewenste cyberveiligheidsniveau te komen.
Om ervoor te zorgen dat een organisatie op het juiste niveau komt, is het belangrijk om in kaart te brengen waar een organisatie nu staat. Daarom stellen we de volgende vragen:
- Heb je een informatiebeveiligingsbeleid?
- Zijn er risico-eigenaren toegewezen, en weten deze mensen wat hun rol is?
- Bestaat er een scherp beleid op het tijdig doorvoeren van updates op apparaten en programma’s?
- Is er zicht op kwetsbaarheden in jouw IT-landschap en grip op de security van ketenpartners?
Door inzichtelijk te maken 1) welke risico’s een organisatie loopt, 2) wat het huidige securityniveau is én 3) wat een organisatie moet doen om het beoogde niveau te halen, zorgen wij dat jouw organisatie een op maat gemaakt security plan krijgt.
Onderneem op tijd actie
Valt jouw organisatie in een van de 18 vitale sectoren? Dan is het verstandig om op tijd aan de slag te gaan met NIS2. Het kost tijd om goed in kaart te brengen waar jouw organisatie staat op het gebied van cyberbeveiliging én om de juiste middelen te implementeren die nodig zijn om aan de wetgeving te voldoen.
Wij staan voor je klaar
Wil je meer weten wat Computest Security voor jouw organisatie kan betekenen? Neem contact met ons op via info@computest.nl of bel naar +31887331337. Onze security specialisten staan klaar om aan de slag te gaan.