Cyberaanvallen nemen toe en worden steeds geavanceerder. De aanvallen van 2022 maakten duidelijk dat cyberdreigingen zoals ransomware, phishing en presidentiële fraude geen onderscheid maken tussen kleine, middelgrote en grote bedrijven. Deze trend richting "supply chain-aanvallen", waarbij onderaannemers zich richten op de netwerken van hun klanten, is in opkomst, met opvallende aanvallen zoals SolarWinds. In 2020 maakte SolarWinds, een bedrijf gespecialiseerd in software voor netwerkbeheer en IT-beveiliging, bekend dat het was geïnfiltreerd door cybercriminelen die de Orion-software hadden gecompromitteerd. Deze aanval stelde de aanvallers in staat om schadelijke updates voor deze software te verspreiden naar talloze klantorganisaties. De aanvallers slaagden erin schadelijke code in te voegen in updates voor SolarWinds Orion-software, wat leidde tot de inbraak in de netwerken van veel bedrijven en overheidsinstanties die de software gebruiken. Deze veelbesproken aanval werd een “aanvoerketen’ genoemd aanval", omdat het misbruik maakte van het vertrouwen van gebruikers in software-updates van een betrouwbare bron. De SolarWinds-aanval had verstrekkende gevolgen en bracht potentiële kwetsbaarheden in de softwaretoeleveringsketen aan het licht, waardoor veel bedrijven hun beveiligingsmaatregelen versterkten om zich tegen dergelijke aanvallen te beschermen. In plaats van aanvallen bedrijven kiezen rechtstreeks Cybercriminelen maken steeds vaker gebruik van hun onderaannemers om gemakkelijker de netwerken van hun klanten binnen te dringen. Alle bedrijven zijn nu kwetsbaar voor cyberaanvallen. Kleine en middelgrote bedrijven lopen 4,5 keer meer risico om slachtoffer te worden van cyberaanvallen dan grotere bedrijven bij elkaar. Ze worden specifiek aangevallen met malware die hun informatiesystemen kan versleutelen en hun back-ups kan vernietigen. Deze aanpak heeft bewezen in de meest ernstige gevallen tot bedrijfsfalen te kunnen leiden. Dit onderstreept het belang dat alle bedrijven voorbereid zijn op elke aanval.

Tegen deze achtergrond is de NIS2-richtlijn (richtlijn inzake de beveiliging van netwerk- en informatiesystemen) een belangrijke ontwikkeling die gericht is op het versterken van de bescherming van digitale infrastructuren in Europa. De NIS2-richtlijn, de opvolger van de NIS1-richtlijn, is een van de vele belangrijke initiatieven die gericht zijn op het creëren van een robuuster en geharmoniseerd kader voor de beveiliging van netwerk- en informatiesystemen. Voor veel bedrijven is deze nieuwe richtlijn onderwerp van veel discussie en vragen. Wat zullen de gevolgen en de betekenis ervan zijn voor bedrijven en overheden in de EU?

Wat is de NIS2-richtlijn?

De NIS2-richtlijn (Netwerk- en Informatiebeveiliging, versie 2) is een Europese regelgeving Deze richtlijn is bedoeld om de cyberbeveiliging binnen de EU te harmoniseren en te versterken. Het is de opvolger van de NIS 1-richtlijn en introduceert nieuwe maatregelen om een hoog beveiligingsniveau voor netwerk- en informatiesystemen te garanderen. De NIS 2-richtlijn werd in januari 2023 aangenomen. EU-lidstaten krijgen een bepaalde periode de tijd om deze richtlijn in hun nationale wetgeving om te zetten.

Advertentie

Op wie heeft NIS2 betrekking?

De NIS2-richtlijn bestrijkt een breed scala aan bedrijfssectoren. De NIS2-richtlijn is gericht op particuliere bedrijven, overheidsdiensten en andere entiteiten die binnen de EU actief zijn.
Een van de strategische doelstellingen van NIS2 is het uitbreiden van de reikwijdte van NIS om essentiële dienstverleners en digitale dienstverleners te dekken in sectoren die als "cruciaal voor de economie en de samenleving" worden beschouwd. NIS2 zal betrekking hebben op aanbieders van openbare elektronische communicatiediensten, digitale diensten (waaronder sociale netwerkplatforms en datacenterdiensten) en gezondheidszorgdiensten, met inbegrip van entiteiten die actief zijn in de sectoren medische apparatuur en biowetenschappen, met name farmaceutisch onderzoek en ontwikkeling., en fabrikanten van medische hulpmiddelen.

De NIS 2-richtlijn heeft hoofdzakelijk betrekking op twee categorieën entiteiten:

Aanbieders van essentiële diensten (OSE): Essentiële entiteiten (EE's), al opgenomen in de eerste versie van de NIS1-richtlijn. OSE's/EE's zijn entiteiten die diensten exploiteren die essentieel zijn voor de samenleving en de economie. Dit omvat sectoren zoals energie, transport, gezondheidszorg, bank- en financiële diensten, water, digitale infrastructuur en digitale diensten.

Digitale dienstverleners (DSP): belangrijke entiteiten. DSP's/IE's zijn bedrijven of organisaties die digitale diensten aanbieden, zoals clouddiensten, onlineplatforms, zoekmachines, e-commercediensten en andere soortgelijke diensten. Ze vallen onder de richtlijn als ze bepaalde drempelwaarden bereiken wat betreft het aantal gebruikers of de economische waarde van de geleverde diensten.

Volgens de NIS 2-richtlijn wordt een entiteit als materieel of significant beschouwd op basis van twee criteria:

• Grootte van de entiteit (aantal werknemers, omzet, jaarlijkse balans);
• Bedrijfskritiek: welk type entiteit verwijst naar de activiteiten die door de entiteit worden uitgevoerd?

Wat zijn de belangrijkste wijzigingen ten opzichte van NIS1?

De NIS 2-richtlijn introduceert een aantal belangrijke wijzigingen ten opzichte van de NIS 1-richtlijn, waaronder:

Uitbreiding van het toepassingsgebied: NIS2 breidt het toepassingsgebied van de richtlijn uit naar een breder scala aan bedrijfssectoren en aanbieders van digitale diensten. Dit betekent dat nieuwe categorieën bedrijven onderworpen kunnen worden aan verplichtingen op het gebied van cyberbeveiliging.
Verbeterde beveiligingsvereisten: De richtlijn stelt strengere veiligheidseisen, waaronder strengere maatregelen voor noodparaatheid en incidentbeheer, evenals strengere verplichtingen voor het melden van incidenten.
Veiligheidsscore: NIS 2 introduceert een beveiligingsscoresysteem om de veerkracht van PSD's en ESO's te beoordelen. Dit stelt bevoegde autoriteiten in staat om spelers met een hoger beveiligingsniveau te identificeren.

De NIS 2-richtlijn introduceert verschillende nieuwe verplichtingen voor de betrokken entiteiten. Voor belangrijke en kritieke entiteiten zullen nieuwe technische, organisatorische en operationele maatregelen moeten worden genomen:

1. Contractuele verplichting tot beveiliging in de toeleveringsketen. Organisaties moeten ervoor zorgen dat de informatiebeveiliging in de gehele toeleveringsketen gewaarborgd blijft. Dit betekent dat leveranciers, onderaannemers en andere partners zich ook aan de juiste beveiligingsnormen moeten houden.
2. Meldingsplicht. De richtlijn vereist dat beveiligingsincidenten met een aanzienlijke impact op de continuïteit van essentiële diensten binnen een bepaald tijdsbestek aan de bevoegde autoriteiten worden gemeld.
3. Verantwoordelijkheid van het management. Het management is verantwoordelijk voor het waarborgen dat het beveiligingsbeleid en de beveiligingsprocedures worden geïmplementeerd, onderhouden en regelmatig worden herzien.

Welke maatregelen moeten bedrijven en lokale overheden nemen om te voldoen aan de NIS2-richtlijn?

Bedrijven en lokale overheden zullen hun beveiligingsnormen moeten aanscherpen, mechanismen voor incidentmelding moeten opzetten en mogelijk risicobeoordelingen en beveiligingsaudits moeten uitvoeren. Ze zullen ook nauw moeten samenwerken met de relevante nationale autoriteiten.

Implementatie van specifieke cyberbeveiligingsmaatregelen:

• Implementatie van risicoanalyse en beveiligingsbeleid voor informatiesystemen. Elke entiteit moet daarom haar structuur herzien om cyberrisico's te beoordelen.,
• incidentbeheer,
• Stel bedrijfscontinuïteitsplannen (BCP) en noodherstelplannen (DRP) op. Neem maatregelen om de continuïteit van de bedrijfsvoering te waarborgen in geval van een incident. Dit omvat bijvoorbeeld het goed beheren van back-ups en crisisbeheersingsmaatregelen.
• beveiliging bij de verwerving, ontwikkeling en het onderhoud van netwerken en informatiesystemen,
• beoordeling van cyberrisicobeheermaatregelen,
• de toepassing van cryptografisch beleid en procedures, en het gebruik van cryptografische technieken om informatie te versleutelen voor betere bescherming,
• activabeheer en toegangscontrolebeleid: voorbeeldige toegangscontrole om indringers te voorkomen en te profiteren van robuuste beveiliging,
• het opleiden van werknemers in goede cyberhygiëne, inclusief best practices die in het hele bedrijf moeten worden gesystematiseerd,
• Implementatie van multi-factorauthenticatieoplossingen. Multi-factorauthenticatie (MFA) en sterke authenticatie verdienen de voorkeur voor verhoogde beveiliging.
• de verplichting voor bedrijven om binnen 24 uur een eerste waarschuwing aan ANSSI te geven geval van een beveiligingsincident.

Welke risico’s loopt een bedrijf als het zich niet aan deze richtlijn houdt?

Bedrijven die de NIS 2-richtlijn niet naleven, kunnen financiële sancties krijgen. NIS 2 introduceert een systeem van boetes voor niet-naleving. De maximale potentiële boetes voor niet-naleving kunnen oplopen tot € 10 miljoen of 2 % van de wereldwijde jaaromzet voor "belangrijke" entiteiten, of € 7 miljoen of 1,4 % van de wereldwijde jaaromzet voor "belangrijke" entiteiten. In het bijzonder wanneer niet-naleving van NIS 2 ook zou kunnen leiden tot een inbreuk op persoonsgegevens, zullen er geen boetes worden opgelegd onder de EU NIS 2- en RGPD-systemen, als de inbreuk het gevolg is van hetzelfde beveiligingsincident. Bovendien kunnen zij in geval van een beveiligingsincident als gevolg van niet-naleving aansprakelijk worden gesteld voor operationele of financiële schade. Elke lidstaat heeft naar Oktober 2024 uiterlijk om de NIS2-richtlijn in hun nationale regelgeving om te zetten. Het is denkbaar dat sommige landen dit proces zullen versnellen, aangezien de nationale versies van NIS2 gebaseerd zijn op de bestaande nationale versies van NIS1.

Verantwoordelijkheid voor het topmanagement

De NIS 2-richtlijn benadrukt de verantwoordelijkheid van het senior management binnen organisaties. Het senior management moet een actieve rol spelen in het beheer van cybersecurity en ervoor zorgen dat er passende maatregelen worden genomen om netwerken en informatiesystemen te beschermen.

Bewustzijn vergroten bij teams en management

Cybersecuritybewustzijn is cruciaal om naleving van de NIS2-richtlijn te waarborgen. Bedrijven moeten investeren in de training van hun personeel om cyberdreigingen te herkennen en te voorkomen. Ook het management moet bewust worden gemaakt van het belang van cybersecurity en naleving van de richtlijn.

De NIS2-richtlijn vormt een belangrijke mijlpaal in de versterking van de cybersecurity in Europa. Bedrijven en lokale overheden moeten onmiddellijk actie ondernemen om aan deze regels te voldoen, hun weerbaarheid tegen cyberaanvallen te vergroten en beveiligingsincidenten te voorkomen. Naleving van de richtlijn is essentieel om aanzienlijke financiële boetes te voorkomen en de reputatie en het vertrouwen van uw organisatie te beschermen. Er zijn veel hulpmiddelen beschikbaar om bedrijven te helpen bij de naleving van de NIS2-richtlijn, zoals de richtlijnen en aanbevelingen van het ANSSI (Agence nationale de la sécurité des systèmes d’information) in Frankrijk. U kunt ook de hulp inroepen van gespecialiseerde cybersecuritydienstverleners om uw bedrijf hierbij te ondersteunen.

De oplossingen van Altospam helpen bedrijven gedeeltelijk te voldoen aan de NIS2-richtlijn door de beveiliging van hun e-mail (de eerste aanvalsvector) te versterken en hun informatiesystemen te beschermen tegen cyberdreigingen. Mailsafe van Altospam biedt geavanceerde bescherming tegen bedreigingen zoals phishingaanvallen, ransomware en malware. De antispam-, antiphishing-, antiransomware- en antimalwarefilters van de oplossing blokkeren schadelijke e-mails voordat ze de inbox van gebruikers bereiken. Altospam-oplossingen kunnen een belangrijk onderdeel vormen van de algehele beveiligingsstrategie van een bedrijf om te voldoen aan de NIS2-vereisten. Volledige naleving vereist echter een holistische benadering van informatiebeveiliging en risicomanagement.