Storingen of onderbrekingen van kritieke infrastructuur als gevolg van een cyberaanval kunnen dramatische gevolgen hebben, zoals tekorten in de bevoorrading en verstoringen van de openbare veiligheid. De Europese Unie wil met de NIS2-richtlijn (Network and Information Systems Directive 2022) de cyberweerbaarheid van kritieke bedrijven en instellingen verhogen. Valt uw organisatie eronder? En zo ja, waar moet u rekening mee houden?
De NIS2-richtlijn werd op 16 januari 2023 uitgerold en zal tegen 17 oktober 2024 in de wetgeving van elke EU-lidstaat opgenomen zijn. Volgens de richtlijn moeten bedrijven die kritieke infrastructuren beheren zich indekken tegen een waslijst aan risico’s, zoals menselijke fouten, systeemuitval, kwaadwillende actoren en natuurrampen, en de systemen die hun netwerk- en informatiebeveiliging sturen afdoende beveiligen. Organisaties die de richtlijn aan hun laars lappen kunnen boetes krijgen tot 10 miljoen euro of 2% van hun jaarlijkse wereldwijde omzet. U bent dus maar beter in regel!
Valt uw organisatie onder de richtlijn?
Of uw organisatie onder NIS2 valt, hangt voornamelijk af van de omvang van uw organisatie en van de sector waarin u actief bent. Zowel ‘zeer kritische’ als ‘kritische’ sectoren vallen eronder:
Zeer kritisch |
Kritisch |
---|---|
Transport |
Maakindustrie |
Energie |
Afvalbeheer |
Bank- en verzekeringswezen |
Post en koerierdiensten |
Gezondheidszorg |
Voedingsindustrie (productie, verwerking, distributie) |
Drinkwater |
Chemie en farma |
Afvalwater |
Digitale dienstverleners |
Digitale infrastructuur |
Research |
Beheer van ICT-diensten (b2b) |
|
Overheid |
|
Ruimtevaart |
Ook alle middelgrote (51 tot 249 werknemers; jaaromzet < 50 miljoen euro) en grote organisaties (+250 werknemers; jaaromzet > 50 miljoen euro) vallen onder de wetgeving.
Is uw organisatie ‘essentieel’ of ‘belangrijk’?
'Zeer kritische' bedrijven zijn 'essentieel', 'kritische' bedrijven zijn 'belangrijk'. Voor beide gelden dezelfde eisen voor cyberbeveiligingsbeheer en verplichtingen voor het melden van incidenten, maar het toezicht op de naleving verschilt. 'Essentiële' organisaties moeten proactief controleren of ze de maatregelen toepassen, voor 'belangrijke' organisaties volstaat reactieve monitoring — dus enkel in geval van een cyberincident.
Vier hoofdvereisten
Vergeleken met de eerste NIS uit 2016 kent NIS2 vier nieuwe hoofdvereisten:
1. Risicobeheer: Organisaties moeten alle potentiële risico's aanpakken, waaronder menselijke fouten, systeemuitval, kwaadwilligheid, natuurrampen en de fysieke en omgevingsbeveiliging van systemen.
2. Verantwoordelijkheid: C-level executives moeten erop toezien dat de regels nageleefd worden. Bij overtredingen worden ze persoonlijk aansprakelijk gesteld en riskeren ze een schorsing.
3. Meldingsplicht: NIS2 heeft gedetailleerde vereisten voor het melden van beveiligingsincidenten.
4. Bedrijfscontinuïteit: NIS2 is van toepassing op organisaties die diensten aanbieden die van vitaal belang zijn voor het functioneren van de maatschappij. Doet er zich een beveiligingsincident voor, dan moet zo’n organisatie kunnen terugvallen op plannen die ervoor zorgen dat hun diensten blijven draaien, zoals systeemherstel, noodprocedures en het opzetten van een crisisresponsteam.
Tien basismaatregelen
Organisaties die onder NIS2 vallen moeten tien basismaatregelen nemen om beveiligingsincidenten te voorkomen en de impact ervan te minimaliseren:
1. Beleid voor risicoanalyse en beveiliging van informatiesystemen
2. Incidentafhandeling
3. Bedrijfscontinuïteit (back-upbeheer, noodherstel, crisisbeheeretc.)
4. Beveiliging van de toeleveringsketen
5. Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerken en informatiesystemen, met inbegrip van de behandeling en openbaarmaking van kwetsbaarheden
6. Beleid en procedures om de effectiviteit van maatregelen voor risicobeheer op het gebied van cyberbeveiliging te beoordelen
7. Elementaire cyberhygiënepraktijken en cyberbeveiligingstraining
8. Beleid en procedures met betrekking tot het gebruik van cryptografie en — indien van toepassing — encryptie
9. Personeelsbeveiliging, toegangscontrolebeleid en activabeheer
10. Het gebruik van multifactorauthenticatie of oplossingen voor continue authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen indien van toepassing
Aurelium stoomt uw organisatie graag klaar voor NIS2
We bieden een aantal professionele beveiligingsoplossingen die uw organisatie helpen te voldoen aan enkele van de belangrijkste NIS2-eisen, zoals:
- Incidentafhandeling en -onderhoud, inclusief afhandeling en openbaarmaking van kwetsbaarheden
- Bedrijfscontinuïteit met back-upbeheer
- Multifactorauthenticatie
Contacteer ons voor meer info!