In rechte lijn naar NIS2

NIS2, wablieft?

NIS2 is een richtlijn die ingevoerd werd door het Europees Parlement in december 2022 met als doel de beveiliging van netwerk- en informatiesystemen te verhogen. Hierdoor wil het Europees Parlement een hoger niveau van cyberbeveiliging in de EU waarborgen.

NIS2 volgt de NIS1 richtlijn uit 2016 op, die nu op veel meer sectoren van toepassing wordt. Ook de implementatie over de lidstaten heen zou hiermee consistenter moeten verlopen.

Belangrijke nuance: een Europese richtlijn is niet meteen een wet waar je als bedrijf dient aan te voldoen. Het is aan elk van de lidstaten om binnen een bepaalde termijn deze richtlijn om te vormen naar een wetgeving (bv. de GDPR richtlijn, dewelke ondertussen de AVG wetgeving vormt). België heeft hiervoor tot 17 oktober 2024 de tijd. Het gebruik van een richtlijn heeft dus wel tot gevolg dat de lidstaten een zekere vorm van vrijheid hebben om de richtlijn om te vormen naar een wet, wat dus één van de tekorten is bij de NIS1 wetgeving. Binnen de NIS2 richtlijn zijn deze vrijheden meer beperkt.

"Maar we hebben toch een EDR-oplossing?"

Het onderwerp van de richtlijn kan voor wat verwarring zorgen. De richtlijn focust zich op een verhoogde beveilging van netwerk- en informatiesystemen, wat vaak aanzien wordt als het technische aspect van de informatica-infrastructuur binnen een organisatie.

Kijken we echter wat dieper, dan merken we al snel dat het Europees Parlement op meerdere pijlers speelt. Zo dient een organisatie bijvoorbeeld naast het toepassen van basispraktijken (later meer) ook een beleid in te voeren rond risico-analyse én opleiding te voorzien op het gebied van cyberveiliging. Hiermee onderschrijven ze onze adviezen dat een goede cyberbeveiliging meer vergt dan enkel technische maatregelen.

Een sterk en weerbaar cyberbeveiligingsbeleid werkt namelijk op drie bouwblokken. Naast de implementatie van technische oplossingen (zoals een EDR en Back-ups) dient de organisatie ook rekening te houden met het beleid en daaruitvolgend de processen. Beide bouwblokken dienen dan finaal te worden ondersteund door de mensen binnen en buiten de organisatie. Oftewel, allerhande beveiligingstools implementeren werkt enkel efficiënt met de nodige processen, die ook daadwerkelijk gevolgd worden door de medewerkers.

En dit is dus exact waar NIS2 ook rekening mee houdt. En tevens voor een groot aantal organisaties een flinke uitdaging.

Heb ik het ook vlaggen?

Nu we de NIS2 richtlijn heel kort geschetst hebben, moeten we het uiteraard hebben over het toepassingsgebied (of de scope).

Binnen de toepasbaarheid van de richtlijn worden er twee grote categorieën gedefinieerd, de hoog kritieke sectoren (Annex I) en de andere kritieke sectoren (Annex II). Binnen deze categoriën gebeurt er nog een opdeling op basis van de grootte en omzet van de organisatie wat zal lijden tot drie classificaties:

1. Essentieel: strengere controle;
2. Belangrijk: "normale" toepassing van de wet;
3. Out of Scope: de wet is niet van toepassing;

Om de complexiteit nog te verhogen kan de lidstaat ook entiteiten zelf kenmerken als "essentieel" of "belangrijk", en zijn er ook nog uitzonderingen binnen de toepasbaarheid. Op deze link kan je zelf zien of je organisatie binnen het toepassingsgebied valt en in welke classificatie. Let wel op, dit document is gemaakt op basis van de richtlijn en niet van de nog te publiceren wet! Hou zeker ook rekening met de volgende classificaties voor de grootte van de organisatie:

• Kleine en micro organisaties: minder dan 50 werknemers EN minder dan 10 miljoen euro omzet;
• Middelgrote organisaties: meer dan 50 werknemers OF meer dan 10 miljoen euro omzet;
• Grote organisaties: meer dan 250 werknemers OF meer dan 50 miljoen euro omzet;

Als organisatie dien je zelf te bepalen of de richtlijn/wet van toepassing is. Daarenboven dien je ook jezelf te registreren. Dit doe je via Safeonweb@work - homepage | CCB Safeonweb.

Wat kan ik al doen?

Eens geweten of je binnen de toepasbaarheid valt, is de volgende stap uiteraard te voldoen aan de eisen van de wet. Als organisatie dien je maatregelen te nemen die in verhouding zijn met de risico's van toepassing op je organisatie. Hiervoor geeft de richtlijn een aantal maatregelen die als doel hebben het netwerk- en informatiesystemen en de fysieke omgeving van die systemen tegen incidenten te beschermen. De maatregelen die de organisatie dient te nemen hebben minstens betrekking op het volgende:

1. beleid inzake risicoanalyse en beveiliging van informatiesystemen;
2. incidentenbehandeling; (inclusief meldingsplicht)
3. bedrijfscontinuïteit, zoals back-up beheer, noodvoorzieningenplannen en crisisbeheer;
4. de beveiliging van de toeleveringsketen, met inbegrip van beveiliging gerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
5. beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de reactie op en bekendmaking van kwetsbaarheden;
6. beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
7. basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
8. beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
9. beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
10. wanneer gepast, het gebruik van multi-factorauthenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit;
11. een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden.

Deze elf maatregelen vormen al een stevige basis indien ze goed zijn uitgewerkt. kun je als organisatie echter niet realiseren op 1-2-3. Tijdig starten is dus essentieel!

Ok, hoe starten we ermee?

Het Centrum voor Cyber security België (CCB) heeft de implementatie hiervan al in een framework verwerkt. Dit framework bevat een reeks concrete maatregelen op maat van je organisatie en dient dus als een goed startpunt. Je vindt tal van informatie terug op de CyberFundamentals Framework website:

• 4 PDF's met maatregelen en kernmaatregelen;
• Conformiteitsschema (voornamelijk voor essentiele organisaties);

• CyFun Toolbox (CyFun Selection Tool, CyFun Self-Assessment tool, CyberFundamentals Framework mapping en CyFun Policy Templates);

Wat bij niet-naleving?

Door het bredere toepassingsgebied in vergelijking met NIS1 komen nu ook heel wat KMO's in het vizier. Deze maatregelen zijn voor een KMO vaak onbekend terrein en vereisen dus een serieuze inspanning om te voldoen aan de wetgeving. Een bedrijfsleider kan natuurlijk altijd beslissen om de wet niet te volgen, maar daar staan dan natuurlijk ook sancties tegen over. Het voorontwerp van de wet voorziet de mogelijkheid tot het nemen van aantal acties:

• Administratieve geldboetes: variërend van €500 tot €10.000.000, afhankelijk van de classificatie en inbreuk.
• Administratieve maatregelen: variërend van een waarschuwing, bindende aanwijzingen tot het verplichten van openbaarmaking van de afwijkingen.

We helpen je graag op weg!

Als bedrijfsleider of IT verantwoordelijke moet je hier natuurlijk niet alleen mee aan de slag gaan. Wil je meer weten of NIS2 en eventuele verdere acties, registreer je dan zeker voor onze webinar op 27 juni om 11u via deze link !

Kun je niet wachten? Stuur ons dan gerust al een mailtje via sales@lebonit.be en we gaan graag in dialoog.