Starten met NIS2: Wat je nu al kunt doen?

De nieuwe NIS2-richtlijn, die vanaf 17 oktober 2024 van kracht wordt, is bedoeld om de cyberveiligheid binnen de Europese Unie te versterken. Hoewel deze datum misschien nog ver lijkt, komt deze snel dichterbij, en het is essentieel om nu al voorbereid te zijn.

Als je organisatie niet direct onder de NIS2-wetgeving valt, is het toch belangrijk om rekening te houden met een cruciale consequentie: als je diensten levert aan bedrijven die wel onder NIS2 vallen, moet je voldoen aan dezelfde strenge IT-beveiligingsnormen. Dit betekent dat je IT-omgeving volledig in lijn moet zijn met de NIS2-richtlijnen om de beveiliging en continuïteit van je diensten te waarborgen. Meer informatie over de sectoren

Welke verplichtingen schrijft de Cyberbeveiligingswet voor? En Welke maatregelen worden er verwacht?

1. Registratieplicht

organisaties die onder de Cyberbeveiligingswet vallen zijn wettelijk verplicht zich te registreren in het entiteitenregister, dat wordt beheerd door het Centrum voor Cybersecurity België (CCB). Dit register draagt niet alleen bij aan de nationale veiligheid, maar maakt ook deel uit van een breder Europees overzicht van entiteiten die onder de NIS2-richtlijn vallen.

2. Zorgplicht

Het wetsvoorstel bevat een zorgplicht die organisaties verplicht een risicoanalyse (audit) te hebben uit laten voeren. Naar aanleiding van deze audit moet je organisatie passende en evenredige maatregelen nemen en implementeren voor de beveiliging van netwerk- en informatiesystemen die worden gebruikt voor de verlening van hun diensten.

De leden van het bestuur moeten de maatregelen goedkeuren en toezicht houden op de uitvoering ervan. Om dit goed te kunnen doen, dienen zij ook een opleiding te volgen.

Onder de zorgplicht vallen ten minste:

Maatregel 1 Een risicoanalyse en beveiliging van informatiesystemen; Voer een audit uit om risico’s te identificeren en implementeer beveiligingsmaatregelen, zoals firewalls, versleuteling, regelmatige updates en het gebruik van externe Cloudbackupsystemen.

Maatregel 2
Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van assets; Stel toegangsbeperkingen in, zoals Microsoft Conditional Access, om ervoor te zorgen dat alleen de juiste personeelsleden toegang hebben tot de juiste gegevens en systemen.

Maatregel 3
Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen; ik bZorg voor een externe cloudbackup bij een andere provider dan uw primaire systemen, zodat deze niet kan worden mee-geïnfecteerd of geïncrypteerd bij een aanval op uw hoofdomgeving.

Maatregel 4 Incidentenbehandeling; Het is essentieel om een noodplan in de vorm van een draaiboek te hebben, zodat uw organisatie snel en effectief kan reageren op incidenten. Voor meer informatie of advies over het opstellen van een dergelijk draaiboek, neem contact op.

Maatregel 5 Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging; Zorg ervoor dat uw medewerkers deelnemen aan diverse trainingen, waaronder de Ethical Phishing Training, een doorlopend programma dat hen helpt phishing-aanvallen te herkennen en te vermijden, en zo de cyberveiligheid binnen uw organisatie te versterken.

Maatregel 6 Beveiliging bij het verwerken, ontwikkelen en onderhouden van netwerken en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden; Met Managed WiFi, zoals Unify, kan er precies worden nagegaan wanneer en welk apparaat gehackt is, en het direct worden geblokkeerd. Via Managed Service Provider (MSP) software wordt elk apparaat gemonitord, waardoor er onmiddellijk kan worden ingegrepen bij problemen en uw hele bedrijf in één keer kan worden beschermd.

Maatregel 7 Beveiliging van de toeleveranciersketen; Zorg ervoor dat alle inkomende informatie, inclusief e-mails, wordt beschermd met geavanceerde dreigingsbescherming (Advanced Threat Protection) en anti-malware oplossingen om risico’s binnen de toeleveranciersketen te minimaliseren.

Maatregel 8 Beleid en procedures over het gebruik van cryptografie en encryptie; Implementeer en beheer wachtwoordmanagers zoals Keeper, en zorg voor apparaatversleuteling met tools zoals BitLocker en FileCloud om de beveiliging van gevoelige gegevens te waarborgen.

Maatregel 9 Het gebruik van multifactorauthenticatie, beveiligde spraak-, video- en tekstcommunicatie, en beveiligde noodcommunicatiesystemen; Een wachtwoordmanager zoals Keeper kan helpen bij multifactorauthenticatie. Om veilig te werken en te communiceren met collega’s en leveranciers, is het aan te raden om een juiste VoIP-provider te gebruiken en een veilig platform zoals Teams te kiezen.

Maatregel 10 Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen; Maak gebruik van externe diensten, draaiboeken, en externe audits om de effectiviteit van uw cyberbeveiligingsmaatregelen grondig te evalueren en te verbeteren.

3. Meldplicht

Vanaf 18 oktober 2024 zijn alle NIS2-entiteiten verplicht om het CCB te informeren over significante incidenten. Dit betreft elke situatie die een aanzienlijke impact heeft op de levering van diensten en kan leiden tot:
– Een ernstige verstoring van de operationele dienstverlening of financiële verliezen voor de betrokken entiteit;
– Aanzienlijke materiële of immateriële schade die andere natuurlijke personen of rechtspersonen heeft getroffen of kan treffen.

Meldingen moeten op de volgende manier gebeuren
  • Binnen 24 uur: Eerste melding van het incident bij mogelijke verspreiding.
  • Binnen 72 uur: Volledige notificatie, vergelijkbaar met de GDPR-eisen.
  • Binnen 1 maand: Indienen van een finaal rapport met een volledige analyse.

Zorg dat uw organisatie klaar is om snel te reageren en te rapporteren volgens deze richtlijnen .

4. Toezicht

Essentiële entiteiten vallen in de Cyberbeveiligingswet onder proactief toezicht. Dit wil zeggen dat er toezicht gehouden wordt op het naleven van de verplichtingen, ook wanneer er geen sprake is van eventuele incidenten.

Voor belangrijke entiteiten geldt dat toezicht achteraf plaatsvindt, bijvoorbeeld als er aanwijzingen zijn voor het niet naleven van de wet, of als er een incident heeft plaatsgevonden.

In alle gevallen kan de toezichthouder beveiligingsaudits en –scans uitvoeren en informatie verzoeken die nodig is om de risicobeheersmaatregelen van de betrokken entiteit te beoordelen.

Het inrichten van toezicht op het naleven van deze wetgeving en het invoeren van sanctiemogelijkheden in de vorm van bestuurlijke boetes geven aan dat de vrijblijvendheid van het adequaat inrichten van een cyber security aanpak voorbij is.

Organisaties die vallen onder de NIS2-richtlijn hebben een aantal plichten. Als je organisatie niet direct onder de NIS2-wetgeving valt, is het toch belangrijk om rekening te houden met een cruciale consequentie: als je diensten levert aan bedrijven die wel onder NIS2 vallen, moet je voldoen aan dezelfde strenge IT-beveiligingsnormen. Dit betekent dat je IT-omgeving volledig in lijn moet zijn met de NIS2-richtlijnen om de beveiliging en continuïteit van je diensten te waarborgen.

Het is belangrijk om te weten hoe deze nieuwe regels jouw organisatie kunnen raken en om tijdig de nodige stappen te zetten om aan de NIS2-richtlijn te voldoen. Cyberbeveiliging is geen keuze meer, het is gewoon een must! Hulp nodig? Onze gecertificeerde experts staan te popelen om je te ondersteunen en een grondige Security Audit voor je uit te voeren!