19 december 2022
Blog

NIS2: De nieuwe Europese Cyber Security-richtlijn

Door de versnelde digitale transformatie is er een sterke stijging van het aantal cyberaanvallen. Uit onderzoek blijkt dat organisaties gemiddeld 212 dagen nodig hebben om een datalek te identificeren en in te dammen en dat 90% van de inbreuken wordt veroorzaakt door menselijke fouten. Als deze trend verder doorzet, kost cybercriminaliteit in 2025 wereldwijd jaarlijks 10,5 biljoen dollar. Reden genoeg dus om ons nog beter te gaan beschermen. Om het aantal incidenten te verminderen, is een aangepast beleid voor nieuwe cyber dreigingen nodig. Daarom gaat in 2023 de nieuwe Europese Cyber Security-richtlijn ‘NIS2’ in.

Wat is de NIS2?

NIS staat voor Netwerk- en Informatiesystemen en is de eerste EU-wetgeving op het gebied van cyberbeveiliging. Op dit moment geldt in de Europese Unie NIS(1), een richtlijn voor essentiële bedrijven, zoals water- en telecombedrijven. De opvolger hiervan wordt NIS2. Deze nieuwe richtlijn verhoogt de cybersecurity-eisen in de Europese Unie en is van toepassing op een breder scala aan industriesectoren. Denk hierbij aan de transportsector, gezondheidszorg, bankensector, financiële markten, digitale infrastructuur, drinkwatervoorziening, rioolwaterafvoer en energievoorziening. Daarnaast richt NIS2 zich niet langer alleen op grote ondernemingen en heeft het ook invloed op MKB bedrijven die essentiële activiteiten uitvoeren of zaken doen met essentiële bedrijven.

informatiebeveiliging

Wat betekent dit voor mijn organisatie?

Het MKB in Nederland blijkt niet goed voorbereid te zijn op security aanvallen, terwijl deze steeds frequenter voorkomen. Uit onderzoek door Accenture blijkt dat 43% van de aanvallen gericht is op kleine ondernemingen en dat maar 14% van deze organisaties genoeg is voorbereid om zich hiertegen te verdedigen. Maar hoe komt het dat het MKB steeds vaker het slachtoffer is van cybercrime?

Kleine en middelgrote bedrijven zijn de perfecte ‘middenweg’ tussen gemakkelijk en winstgevend. De informatie die van bedrijven gestolen kan worden, is vaak meer waard dan die van losse personen. Je hebt meteen hele databases aan persoonsgegevens en andere data te pakken die uitgebuit kan worden. Ook zijn er binnen deze bedrijven vaak minder middelen om in cybersecurity te investeren en minder (goede) beveiligingsprotocollen, waardoor criminelen gemakkelijker hun slag kunnen slaan.

Cybersecurity moet volledig worden opgenomen in een bedrijf. Niet alleen de mensen die binnen de muren van de organisatie werken moet voldoen aan de nieuwe wetgeving. Het is ook van belang om klanten en toeleveranciers tegen het licht te houden. Een bedrijfsjurist kan zich bijvoorbeeld de vragen stellen:

  • Zijn klanten aangemerkt als Essentiële Aanbieder op het moment dat de NIS2-richtlijn van kracht is?
  • Welke verplichtingen voor het voorkomen van cyberincidenten worden door klanten opgelegd?
  • Worden toeleveranciers verplicht om eventuele kwetsbaarheden en beveiligingsincidenten in producten en/of diensten te herstellen?
  • Welke beveiligingsstandaarden worden aan toeleveranciers opgelegd?

De NIS2 heeft dus ook gevolgen voor de partijen waarmee je samenwerkt. Iedereen binnen en rondom de organisatie moet op de hoogte zijn van de geldende beveiligingsmaatregelen, om zo de veiligheid binnen de gehele keten te waarborgen en hacks in je eigen organisatie te voorkomen.

Er volgt een strenge handhaving waarbij regelmatig steekproeven worden gedaan en controles worden uitgevoerd na incidenten. Uiteindelijk wordt het bestuur van de organisatie verantwoordelijk gehouden voor het naleven van de wet. Er komen forse boetes aan te pas van wel 2% van je jaaromzet. Nog meer reden dus om jouw cyberveiligheid op orde te hebben.

Pentest Eshgro

Wat kan ik alvast doen?

Het Nationaal Cyber Security Centrum (NCSC) heeft een aantal basismaatregelen vastgesteld die elke organisatie moet treffen om zich te beschermen tegen cyberaanvallen. Het NCSC is het centrale informatieknooppunt en expertisecentrum voor cybersecurity in Nederland. Hier komen tactische en operationele kennis en expertise uit de publieke en private sectoren bij elkaar. Zo kan meer inzicht worden verkregen over ontwikkelingen, dreigingen, trends en kan er meer ondersteuning worden geboden op het vlak van digitale veiligheid. Eshgro onderhoudt nauwe banden met het NCSC en periodiek wordt dreigingsinformatie uitgewisseld.

Voldoe jij aan de basismaatregelen van het NCSC? Check het door onderstaande vragen voor jezelf te beantwoorden:

  • Genereren jouw applicaties en systemen voldoende loginformatie?
  • Maak jij al gebruik van multifactorauthenticatie (MFA) binnen jouw organisatie?
  • Weet jij wie er toegang heeft tot jouw data en diensten?
  • Zijn jouw netwerken gesegmenteerd?
  • Is jouw opslagmedia met gevoelige bedrijfsinformatie versleuteld?
  • Is er gecontroleerd welke apparaten en diensten bereikbaar zijn vanaf het internet en zijn deze beschermd?
  • Worden er regelmatig back-ups van je systemen gemaakt en worden deze ook getest?
  • Worden software-updates regelmatig geïnstalleerd?

Kijkend naar de voorgestelde aanpassingen van de NIS2-richtlijn doe je er als organisatieverstandig aan om in ieder geval bovenstaande basismaatregelen te nemen om het risico op het ontstaan en de gevolgen van een cyberincident zoveel mogelijk te beperken.

Hoe helpen wij?

Informatiebeveiliging is bij Eshgro intelligence driven, waarbij we gebruik maken van slimme systemen en specifieke dreigingsinformatie. Hierdoor voorkomen we cyberaanvallen en datalekken, zodat jouw organisatie de belangrijke rust ervaart om onbezorgd te kunnen ondernemen.

Meer weten? Neem dan gerust contact met ons op. Wij helpen je graag bij de security in en rondom je organisatie.

Contact opnemen