De Europese Unie scherpt de regelgeving op het gebied van cybersecurity aan met de NIS2-richtlijn. De aanscherping van de ‘Network and Information Security’ richtlijn brengt enkele belangrijke wijzigingen met zich mee. De vereisten voor handhaving worden strenger en sancties voor het niet naleven van de regels zullen in de hele Europese Unie van kracht zijn. NIS2 breidt het toepassingsgebied uit naar organisaties in nieuwe sectoren. Deze organisaties moeten adequate maatregelen nemen op o.a. de gebieden cyberrisicobeheer, penetratietesten, incident response en herstel. Tot eind 2024 heb jij de tijd om de nieuwe richtlijn te implementeren. Maar wat houdt het precies in en wat gebeurt er als je niet tijdig handelt? In dit artikel vertellen wij je hier meer over.
Voor welke organisatie geldt de nieuwe richtlijn?
Het aantal publieke en private organisaties die onder de NIS2-richtlijn vallen wordt groter. Met deze uitbreiding wil de Europese Commissie alle organisaties bereiken die een belangrijke rol vervullen in de samenleving. Dat betekent dat ook sectoren zoals voedselproductie, afvalbeheer én de hele toeleveringsketen onder de NIS2 wetgeving vallen. Dat laatste heeft te maken met het feit dat een cyberincident in veel gevallen niet alleen de aangevallen organisatie raakt, maar ook effect heeft op andere bedrijven in de keten.
Laten we een voorbeeld schetsen. Jouw organisatie voldoet aan de NIS2-richtlijn, maar een leverancier waar je afhankelijk van bent voldoet hier niet aan. Als deze leverancier wordt getroffen door een succesvolle aanval, kunnen de negatieve gevolgen ook jouw organisatie treffen. Zelfs als jij aan de richtlijn voldoet. En juist daarom is het belangrijk dat organisaties ook de beveiliging van hun toeleveranciers waarborgen. NIS2 focust zich niet zozeer op de impact van een cyberincident op jouw organisatie, maar op hoe een incident de samenleving en het functioneren van andere bedrijven schaadt.
Waarom is het naleven van NIS2-richtlijn belangrijk?
Het is absoluut niet overbodig om te investeren in cybersecurity. De NIS2-richtlijn moet ervoor zorgen dat elke organisatie cybersecurity serieus neemt. De richtlijn verplicht bedrijven om een minimumniveau van cybersecuritymaatregelen te implementeren. Het is van groot belang dat organisaties zich realiseren dat zij verantwoordelijk zijn voor het nemen van passende maatregelen om niet alleen de organisatie, maar ook toeleveranciers, klanten en andere betrokkenen beter te beschermen. Organisaties die niet voldoen aan de vernieuwde eisen riskeren naast cyberaanvallen ook juridische consequenties en hoge boetes.
Hoe bereid je je voor op NIS2?
- Beoordeel of jouw organisatie onder de NIS2-richtlijn valt
- Identificeer de tekortkomingen met betrekking tot de vereisten van de richtlijn
- Identificeer potentiële risico’s en bedreigingen
- Stel vast welke maatregelen nodig zijn om aan de NIS2-vereisten te voldoen
- Implementeer de nodige security maatregelen
- Ontwikkel (interne) procedures voor het melden van incidenten
- Volg de ontwikkelingen en richtlijnen van de NIS2 en pas je beveiligingsmaatregelen aan indien nodig
Uiteraard hoef jij dit niet alleen te doen. Heb je hulp of advies nodig bij de implementatie van de NIS2-richtlijn? Onze security experts staan graag voor jou klaar. Neem gerust contact met ons op.
