Om de veiligheid van alle gegevens te waarborgen, zijn er richtlijnen. En deze worden continu verbeterd en aangescherpt, zo ook NIS. Deze richtlijn is op het moment nog geldig, maar wordt binnenkort vervangen door NIS2. Een opvolger die voor verbetering van de weerbaarheid van netwerk- en informatiesystemen binnen de EU-lidstaten moet zorgen. Maar terwijl de Network and Information Security directive (NIS2) naar de Nederlandse wetgeving wordt vertaald, kunnen we er wel dieper op ingaan. Misschien dat de richtlijn nu nog niet op uw bedrijf van toepassing is, maar dat zou kunnen veranderen. En wat betekent deze nieuwe richtlijn dan voor uw bedrijf en waar moet u straks op letten?
NIS2 vergroot reikwijdte
Waar NIS beperkt is tot een aantal sectoren, wordt dat voor NIS2 uitgebreid. Niet alleen sectoren als energie, digitale infrastructuur, gezondheidszorg, overheidsdiensten en bankwezen vallen onder de richtlijn. Met het ingaan van de opvolger valt nu ook de sector Overheid onder de richtlijn. Verder is het eenvoudig, levert een (uw) bedrijf essentiële diensten? Dan gelden de nieuwe cybersecurity richtlijnen ook hiervoor. Kleine mkb-bedrijven krijgen dus ook te maken met de NIS2. Organisaties met meer dan 50 medewerkers en een omzet van 10 miljoen, moeten kunnen aantonen dat zij voldoen aan de nieuwe cyberwet. Bedrijven die hier onder zitten, zullen in de meeste gevallen niet te maken krijgen met de nieuwe richtlijn. Maar met de voorbereidingen op de nieuwe wetgeving nog in volle gang, wordt nog gewerkt aan de precieze definitie van ‘essentieel’.
Strengere beveiligingsnormen en meldingsvereisten
Voor bedrijven die straks onder de vernieuwde richtlijn vallen, gelden een aantal verplichtingen:
- De zorgplicht: deze verplicht bedrijven en organisaties om zelf een risicobeoordeling te doen. Kan de veiligheid nog gewaarborgd worden en hoe kan dit met passende maatregelen verbeterd worden.
- De meldplicht: Een incident moet binnen 24 uur gemeld worden bij een toezichthouder. Het gaat dan om gevallen waarbij de dienstverlening ernstig verstoord wordt. Wanneer het gaat om een cyberincident moet het ook bij het Computer Security Incident Response Team gemeld worden.
- Toezicht: Niet alleen zijn er de zorg- en meldplicht, bedrijven die onder de NIS2 vallen komen ook onder toezicht te staan. Een onafhankelijke toezichthouder moet ingeschakeld worden om de naleving van onder meer de zorg- en meldplicht in de gaten te houden.
Voorbereiden op wat komen gaat
Om niet helemaal overvallen te worden zijn er al een aantal dingen die u kunt doen om uw bedrijf op orde te hebben voor NIS2. Zo bestaat er voor overheidsinstellingen al de Baseline Informatiebeveiliging Overheid. Deze basis normenkader voor informatiebeveiliging is een goed startpunt. Maar voor bedrijven buiten de overheid, die wel onder NIS2 gaan vallen, is het goed om de volgende punten eens na te gaan:
- Derde partijen: Wanneer leveranciers waar u mee werkt zich niet goed aan de toegangsbeheer maatregelen houden, kunnen ze ervoor zorgen dat er kwetsbare plekken ontstaan in het systeem.
- Authenticatie: Een extra beveiligingslaag die gebruikers verplicht om hun identiteit te verifiëren, door middel van multi-factor authenticatie. Deze authenticatie biedt bescherming. Zonder is een systeem kwetsbaar voor aanvallen van buitenaf en het stelen van gegevens.
- Te veel toegangsrechten: Wanneer gebruikers meer toegang hebben tot data dan nodig is om hun werk uit te kunnen voeren, vormt dit een risico.
- Accounts beschermen: Gecompromitteerde accounts kunnen een bedreiging voor de veiligheid vormen. Ga na welke nog in gebruik zijn en zorg voor gebruikersnamen en wachtwoorden met multi-factor authenticatie.
Geen NIS2 voor uw bedrijf?
Dat kan natuurlijk. Als uw bedrijf minder dan 50 werknemers heeft en geen omzet van 10 miljoen euro behaalt, kan het zomaar zijn dat u niet aan de richtlijn hoeft te voldoen. Toch is het ook voor uw bedrijf belangrijk om de cybersecurity op orde te hebben. Om de beveiliging van gegevens te waarborgen kunt ook u bovengenoemde stappen nagaan.
Wanneer u weet dat uw bedrijf onder de NIS2 komt te vallen, is het verstandig om het bedrijf hierop voor te bereiden door middel van eerdergenoemde stappen. Daarnaast zal DSE IT-Services u ook op de hoogte blijven houden over de ontwikkelingen. Voor meer informatie over de aankomende richtlijnen kunt u contact opnemen met een van onze medewerkers via sales@dseit.nl of bel 0251-278990.