Eind 2022 besliste het Europees Parlement om een vernieuwde versie van de NIS-richtlijn voor de beveiliging van netwerk- en informatiesystemen uit te brengen en werd het toepassingsgebied enorm verbreed. Ons land moet voor 17 oktober 2024 wetgeving aannemen die de bestaande NIS-wet vervangt en ook afdwingbaar wordt.
Waarom?
Omdat zeker essentiële sectoren zoals transport, energie, gezondheid en financiën ondertussen zeer hard steunen op IT om hun basisactiviteit uit te voeren, zijn ze ook veel kwetsbaarder dan vroeger voor cyberbedreigingen en cybercriminaliteit. Eventuele beveiligingsincidenten hebben steeds vaker economische en sociale gevolgen ver buiten het geïmpacteerde systeem of bedrijf. De NIS2-richtlijn legt de nadruk op het nemen van effectieve maatregelen voor het beschermen van netwerk- en informatiesystemen met als doel de kwetsbaarheid van je organisatie te verminderen en de weerbaarheid tegen cyberaanvallen te vergroten. Maar er is ook een belangrijk luik enforcement.
Welke bedrijven vallen onder de NIS2 richtlijn?
Er zijn nu twee categorieën:
Essentiële entiteiten:
Grote organisaties >250 werknemers of een omzet >50 milj. uit de sectoren, overheid, energie, transport, ruimtevaart, financiële- en bankdiensten, al dan niet digitale infrastructuur, financiële markt, gezondheidszorg, drink- en afvalwater, beheerders van ICT-diensten.
Belangrijke entiteiten:
Kleinere bedrijven uit de eerste klasse en bedrijven uit de sectoren, digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, onderzoek, fabricage zodra die meer dan 50 werknemers hebben of een omzet boven 10 miljoen.
Lidstaten kunnen in deze indeling wel nog andere accenten leggen. Er wordt ook melding gemaakt van supplychain aanvallen waarbij in eerste instantie een makkelijker doelwit aangevallen wordt om dan vervolgens misbruik te maken van vertrouwde connecties om een ander doel aan te vallen. Het valt te verwachten dat bepaalde bedrijven dezelfde eisen aan subcontractors opleggen als waar ze zelf moet aan voldoen om hun risico te verminderen.
Zijn er sancties?
De lidstaten moeten er op toe zien dat alle entiteiten de nodige maatregelen nemen en incidenten (snel) melden. Voorlopig kennen we de Belgische details nog niet helemaal, maar er wordt gedacht aan externe audits, inspecties en bewijzen van de genomen maatregelen. Mogelijke sancties zijn in de GDPR grotere, tot bv 2% van de wereldwijde omzet en een heel belangrijk punt, alle bestuurders moeten verplicht opgeleid worden en kunnen persoonlijk aansprakelijk gesteld worden voor niet naleving.
Wat moet je doen?
Om te beginnen zijn de verplichting afhankelijk van de categorie waar je in valt. Essentiële entiteiten worden verwacht op voorhand te bewijzen dat ze voldoen, bij belangrijke entiteiten zou een controle achteraf of bij vermoedens van niet conformiteit volstaan.
Een groot deel van de maatregelen vallen onder standaard cyber hygiëne zoals up-to-date hard- en software, paswoord veiligheid met bijvoorbeeld two-factor authenticatie, beperking van admin rechten en betrouwbare back-ups. Ook beveiliging tegen ongeautoriseerde fysische toegang, of elementen zoals storm, brand enz. worden vermeld onder deze richtlijn.
Een belangrijk stuk is rapportering van eventuele problemen. Er geldt een verplichting voor zowel essentiële als belangrijke entiteiten om binnen de 24 uren na het constateren van een belangrijk probleem al de bevoegde instanties op de hoogte te brengen en om binnen de 72 uur al een eerste incident rapportage klaar te hebben met een finaal rapport binnen de maand. Hieraan voldoen wordt een hele uitdaging, zeker als er vooraf geen draaiboek klaarligt.
Waar helpt Cooperworks?
Een eerste stap is het in kaart brengen van je omgeving en risico's.
Vervolgens wordt een analyse van de tekorten gedaan, gevolgd door een remediëring traject. Zowel technische oplossingen als opleiding en awareness komen aan bod.
Omdat cyber-criminals niet stil zitten en omgevingen evolueren, blijft monitoring, auditing en verbetering een belangrijke taak.
We werken in samenspraak met de klant ook een aantal basis draaiboeken uit, zodat bij een probleem alle aandacht naar remediëringen kan gaan en rapportering binnen de vereiste tijdslimieten kan gebeuren.
Referenties: NIS2 Directieve