Wat gaat de NIS2 richtlijn betekenen?
De NIS2 richtlijn, ook wel de Network and Information Systems Directive 2, is een Europese richtlijn die tot doel heeft de cybersecurity in de EU te versterken. Deze richtlijn stelt strenge eisen aan de beveiliging van vitale infrastructuren en digitale diensten om cyberaanvallen te voorkomen en te bestrijden. Het is een belangrijk instrument om de digitale weerbaarheid van Europa te vergroten.
Richtlijnen en wetgeving
Op het moment van schrijven is de NIS2 (de opvolger van de NIB of NIS1) alleen nog een richtlijn gesteld vanuit Europa, maar zal in de loop der tijd worden vertaald naar Nederlandse wetgeving zoals dit voorheen ook met de AVG en GDPR is gegaan.
Vanaf dat moment zullen publieke en private organisaties die onder de NIS2 regelgeving vallen er ook een aantal verplichtingen bij krijgen:
- Zorgplicht
Hierin zijn organisaties verplicht om zelf een risico analyse te doen en op basis hiervan gepaste maatregelen te nemen. - Meldplicht
Organisaties zijn verplicht om incidenten binnen 24 uur bij de toezichthouder en bij een CSIRT (Computer Security Incident Response Team) te melden. - Toezicht
Binnen de NIS2 richtlijn valt ook toezicht, wat wil zeggen dat er een onafhankelijk toezichthouder wordt aangewezen die organisaties kan controleren op de hierboven gemelde verplichtingen.
Essentiële & belangrijke organisaties
Binnen de NIS2 vallende organisaties worden ingedeeld in twee categorieën: essentieel (bijlage 1) voor organisaties met een ontwrichtende impact op de samenleving of economie en belangrijk (bijlage 2) voor bijvoorbeeld aanbieders van digitale (cloud-)diensten.
Meer artikelen
- De menselijke factor in digitale veiligheidUit recent onderzoek van onze partner Mimecast is gebleken dat 74% van alle cyberaanvallen veroorzaakt zijn door de menselijke factoren: fouten, gestolen credentials, misbruik van rechten of social engineering. Mede door opkomst van generatieve AI neemt dit steeds meer toe, omdat het daarmee voor de aanvaller makkelijker wordt gemaakt.
- Het belang van regelmatig patchenDe berichten over dat er een nieuw lek gevonden is in een bepaald product, dat kan zowel hard- als software zijn, komen geregeld voor en met goede reden. Vaak zijn dit nieuwe lekken waar actief misbruik gemaakt van wordt gemaakt – met alle risico’s van dien. Dit soort lekken worden vaak ‘zero days’ genoemd, omdat ze heel nieuw zijn er er mogelijk nog geen update voor beschikbaar is.
- Strategische veiligheid: het nut van een gesimuleerde aanvalNaast allerlei theoretische voorbereidingen kan het ook heel belangrijk zijn om daadwerkelijk een gesimuleerde aanval of ander scenario plaats te laten vinden. Dit geeft vaak nét andere inzichten en helpt je daarmee beter beschermd te zijn tegen aanvallen. Onder andere het Digital Trust Center heeft hiervoor een crisisgame opgezet.
- De risico’s van het gebruiken van AI chatbotsTegenwoordig zijn ze bijna overal te vinden: AI chatbots die je kunnen helpen met allerhande taken en informatievoorziening en eerlijk is eerlijk, ze kunnen enorm handig zijn! Maar zoals wel vaker zijn er ook risico’s verbonden aan het gebruik hiervan. In dit (geheel door een mens geschreven!) artikel leggen we een aantal van die risico’s uit.
- Politie vindt 5 miljoen unieke Nederlandse e-mailadressenNa aanhoudingen eind januari dit jaar heeft de Nederlandse Politie bij de verdachten lijsten aangetroffen met 7 miljoen unieke e-mailadressen waarvan meer dan 5 miljoen adressen van Nederlanders zijn. Deze adressen werden verhandeld maar ook gebruikt voor phishing of identiteitsdiefstal. Je kunt dus slachtoffer zijn zonder dat je dit weet.
Voorbereiding
Zoals met zoveel zaken is een goede voorbereiding essentieel.
Er zijn op dit moment nog veel onduidelijkheden omtrent de NIS2 maar duidelijk is al wel dat dit voor veel organisaties inhoudt dat de digitale weerbaarheid verbeterd moet worden.
Wij kunnen hierbij helpen, denk hierbij aan een risico analyse om te weten waar je staat aan de hand van onze gestandaardiseerde baseline of maatwerk advies, waarin we een op maat gemaakt plan maken om jouw organisatie beter voor te bereiden op de NIS2.