Gert Lambers - 7 feb 2024

Storingen of onderbrekingen van kritieke infrastructuur als gevolg van een cyberaanval kunnen dramatische gevolgen hebben, zoals tekorten in de bevoorrading en verstoringen van de openbare veiligheid. De Europese Unie wil met de NIS2-richtlijn (Network and Information Systems Directive 2022) de cyberweerbaarheid van kritieke bedrijven en instellingen verhogen. Valt uw organisatie eronder? En zo ja, waar moet u rekening mee houden?

De NIS2-richtlijn werd op 16 januari 2023 uitgerold en zal tegen 17 oktober 2024 in de wetgeving van elke EU-lidstaat opgenomen zijn. Volgens de richtlijn moeten bedrijven die kritieke infrastructuren beheren zich indekken tegen een waslijst aan risico’s, zoals menselijke fouten, systeemuitval, kwaadwillende actoren en natuurrampen, en de systemen die hun netwerk- en informatiebeveiliging sturen afdoende beveiligen. Organisaties die de richtlijn aan hun laars lappen kunnen boetes krijgen tot 10 miljoen euro of 2% van hun jaarlijkse wereldwijde omzet. U bent dus maar beter in regel!

Valt uw organisatie onder de richtlijn?

Of uw organisatie onder NIS2 valt, hangt voornamelijk af van de omvang van uw organisatie en van de sector waarin u actief bent. Zowel ‘zeer kritische’ als ‘kritische’ sectoren vallen eronder: 

Zeer kritisch

Kritisch

Transport

Maakindustrie

Energie

Afvalbeheer

Bank- en verzekeringswezen

Post en koerierdiensten

Gezondheidszorg

Voedingsindustrie 

(productie, verwerking, distributie)

Drinkwater

Chemie en farma

Afvalwater

Digitale dienstverleners

Digitale infrastructuur

Research

Beheer van ICT-diensten (b2b)      

  

Overheid

  

Ruimtevaart

  

 

Ook alle middelgrote (51 tot 249 werknemers; jaaromzet < 50 miljoen euro) en grote organisaties (+250 werknemers; jaaromzet > 50 miljoen euro) vallen onder de wetgeving.

Is uw organisatie ‘essentieel’ of ‘belangrijk’?

'Zeer kritische' bedrijven zijn 'essentieel', 'kritische' bedrijven zijn 'belangrijk'. Voor beide gelden dezelfde eisen voor cyberbeveiligingsbeheer en verplichtingen voor het melden van incidenten, maar het toezicht op de naleving verschilt. 'Essentiële' organisaties moeten proactief controleren of ze de maatregelen toepassen, voor 'belangrijke' organisaties volstaat reactieve monitoring — dus enkel in geval van een cyberincident.

 

Vier hoofdvereisten

Vergeleken met de eerste NIS uit 2016 kent NIS2 vier nieuwe hoofdvereisten: 

1. Risicobeheer: Organisaties moeten alle potentiële risico's aanpakken, waaronder menselijke fouten, systeemuitval, kwaadwilligheid, natuurrampen en de fysieke en omgevingsbeveiliging van systemen.

2. Verantwoordelijkheid: C-level executives moeten erop toezien dat de regels nageleefd worden. Bij overtredingen worden ze persoonlijk aansprakelijk gesteld en riskeren ze een schorsing.

3. Meldingsplicht: NIS2 heeft gedetailleerde vereisten voor het melden van beveiligingsincidenten.

4. Bedrijfscontinuïteit: NIS2 is van toepassing op organisaties die diensten aanbieden die van vitaal belang zijn voor het functioneren van de maatschappij. Doet er zich een beveiligingsincident voor, dan moet zo’n organisatie kunnen terugvallen op plannen die ervoor zorgen dat hun diensten blijven draaien, zoals systeemherstel, noodprocedures en het opzetten van een crisisresponsteam.

Tien basismaatregelen

Organisaties die onder NIS2 vallen moeten tien basismaatregelen nemen om beveiligingsincidenten te voorkomen en de impact ervan te minimaliseren: 

1. Beleid voor risicoanalyse en beveiliging van informatiesystemen
2. Incidentafhandeling
3. Bedrijfscontinuïteit (back-upbeheer, noodherstel, crisisbeheeretc.)
4. Beveiliging van de toeleveringsketen
5. Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerken en informatiesystemen, met inbegrip van de behandeling en openbaarmaking van kwetsbaarheden
6. Beleid en procedures om de effectiviteit van maatregelen voor risicobeheer op het gebied van cyberbeveiliging te beoordelen
7. Elementaire cyberhygiënepraktijken en cyberbeveiligingstraining
8. Beleid en procedures met betrekking tot het gebruik van cryptografie en — indien van toepassing — encryptie
9. Personeelsbeveiliging, toegangscontrolebeleid en activabeheer
10. Het gebruik van multifactorauthenticatie of oplossingen voor continue authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen indien van toepassing

Aurelium stoomt uw organisatie graag klaar voor NIS2

We bieden een aantal professionele beveiligingsoplossingen die uw organisatie helpen te voldoen aan enkele van de belangrijkste NIS2-eisen, zoals:

  • Incidentafhandeling en -onderhoud, inclusief afhandeling en openbaarmaking van kwetsbaarheden 
  • Bedrijfscontinuïteit met back-upbeheer 
  • Multifactorauthenticatie

Contacteer ons voor meer info! 

Contacteer ons

Relevante artikels

18/10/2016

Hoe datalekken vermijden in een KMO?

Moderne bedrijven krijgen steeds meer data te verwerken: persoonsdata, bedrijfsdata, financiële data, operationele data, concurrentiële data, kredietkaartgegevens, HR-bestanden, etc. Niet alle data is even belangrijk en even gevoelig...

Datalekken vermijden
16/02/2017

Veeam Cloud Connect: efficiënte backup

Backup is een onontbeerlijk element van uw ICT infrastructuur. Dat is een vaststaand feit. Op sommige momenten kan uw back-up zelfs van levensbelang zijn voor het verder bestaan van uw organisatie. Hopelijk komt u nooit op dat punt, maar...

Veeam Cloud Connect
09/03/2017

Deze 4 functionaliteiten zijn beter in de cloud

Sommige functionaliteiten kunt u gewoon beter van de public cloud afnemen als service. Dit betekent niet dat u deze niet zelf lokaal kunt organiseren. Het is gewoon veel gemakkelijker, efficiënter en goedkoper om ze af te nemen als een cloud...

Functionaliteiten cloud