Dec 23, 2023
De beveiliging van datacenters optimaliseren
Geschreven door Jill - Geschreven: 12 februari 2024
In het digitale tijdperk zijn cyberaanvallen, phishing, malware en ransomware meer dan alleen maar modewoorden. Het zijn echte bedreigingen die ons dagelijks leven beïnvloeden. Onze samenleving, die sterk leunt op digitale infrastructuur, staat voor een grote uitdaging. Daarom heeft Europa de NIS2-richtlijn ingevoerd, een krachtig initiatief om de cyberveiligheid te versterken.
De nieuwe wet verandert de spelregels rond risicobeheer en meldingsplicht, omvat aanzienlijk meer sectoren en voorziet strengere straffen voor wie niet volgt. Met 17 oktober 2024 in zicht – de deadline voor EU-landen om NIS2 in hun wetgeving op te nemen – moeten honderdduizenden organisaties zich opmaken voor een ingrijpende herziening van hun cyberveiligheid. Wat betekent dit voor uw bedrijf? En hoe bereidt u zich voor op wat komen gaat?
In dit artikel bespreken we alles wat u moet weten over de nieuwe wetgeving, en gaan we na welke gevolgen ze heeft voor uw organisatie. We beantwoorden de volgende vragen:
- Wat is NIS2?
- Wat is er nieuw?
- Welke sectoren en organisaties zijn betrokken?
- Wat zijn de spelregels?
- Welke sancties zijn er?
- Hoe bereidt u uw organisatie voor?
1. Wat is de NIS2-richtlijn?
De NIS2-Richtlijn (voluit: Network and Information Security Directive 2022/0383) is de basis van de Europese wetgeving op het gebied van internetveiligheid. Het doel is de beveiliging van netwerk- en informatiesystemen in heel Europa te verbeteren. De wet verplicht operatoren van kritieke infrastructuur en aanbieders van essentiële diensten passende beveiligingsmaatregelen te nemen en incidenten te rapporteren aan de bevoegde autoriteiten.
NIS2 is een herziening van de oorspronkelijke NIS1-Richtlijn uit 2016 en trad in werking in januari 2023. EU-lidstaten hebben nog tot 17 oktober 2024 de tijd om de richtlijn om te zetten in nationale wetgeving. Dat betekent dat elke organisatie die in het toepassingsgebied valt, wettelijk verplicht zal zijn om tegen het einde van 2024 aan de vereisten te voldoen. In totaal zijn meer dan 160.000 organisaties in Europa betrokken.
2. Wat is er nieuw?
De veiligheid van onze maatschappij heeft in de afgelopen jaren flinke druk ervaren door ontwikkelingen als COVID-19, de oorlog in Oekraïne en opkomende cyberdreigingen. Tegelijkertijd is onze samenleving steeds meer afhankelijk geworden van netwerk- en informatiesystemen. Hierdoor was de bestaande wetgeving toe aan modernisering, om zo de digitale en economische veerkracht van de EU-lidstaten te versterken.
In vergelijking met NIS1 is het toepassingsgebied van de wetgeving aanzienlijk uitgebreid. Ook zijn de verplichte beveiligingsmaatregelen en de rapportage van incidenten aangescherpt en zijn de gevolgen van niet-naleving verstrengd.
3. Welke sectoren en bedrijven zijn betrokken?
Weet u al of uw organisatie binnen het toepassingsgebied van de NIS2-richtlijn valt? Hier wordt het een beetje ingewikkeld, dus zullen we proberen u stap voor stap door de richtlijn te leiden.
Laten we eerst even kijken naar de 18 sectoren waarop NIS2 van toepassing is. De richtlijn voorziet twee categorieën: ‘zeer kritieke sectoren’ en ‘andere kritieke sectoren’. Organisaties in beide categorieën moeten aan dezelfde eisen voldoen. Het verschil zit voornamelijk in de toezichtsmaatregelen en sancties; hier komen we later op terug.
Dit zijn de 18 sectoren en subsectoren in NIS2:
Zeer kritieke sectoren
- Energie
- Vervoer
- Bankwezen
- Infrastructuur voor de financiële markt
- Gezondheidszorg
- Drinkwater
- Afvalwater
- Digitale infrastructuur
- Beheer van ICT-diensten
- Overheid
- Ruimtevaart
Andere kritieke sectoren
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Vervaardiging, productie en distributie van chemische stoffen
- Productie, verwerking en distributie van levensmiddelen
- Vervaardiging (van medische hulpmiddelen; informaticaproducten en elektronische en optische producten; elektrische apparatuur; machines en apparaten en werktuigen, motorvoertuigen, aanhangers en opleggers; andere transportmiddelen)
- Digitale aanbieders
- Onderzoek
Indien uw organisatie in een van deze categorieën valt, kunt u mogelijk geïmpacteerd zijn door NIS2.
Bent u nog mee? Om het allemaal nog wat complexer te maken, definieert NIS2 twee soorten organisaties die aan de wetgeving moeten voldoen: ‘essentiële’ en ‘belangrijke’ entiteiten.
Dit zijn de 2 soorten entiteiten in NIS2:
Essentiële entiteiten
- Organisaties in ‘zeer kritieke’ sectoren met meer dan 250 werknemers of een jaaromzet van meer dan 50 miljoen euro of een balanstotaal hoger dan 43 miljoen euro
- Gekwalificeerde aanbieders van vertrouwensdiensten, registers voor topleveldomeinnamen en DNS-dienstverleners, ongeacht hun omvang
- Aanbieders van openbare elektronische communicatienetwerken of -diensten met 50-250 werknemers of meer dan 10 miljoen euro omzet
- Overheidsinstanties
- Elke andere belangrijke organisatie die de enige aanbieder van de dienst binnen het land is of waarvan een onderbreking van de dienst een aanzienlijke impact zou kunnen hebben
Belangrijke entiteiten
- Organisaties in ‘andere kritieke’ sectoren met meer dan 50 werknemers of een jaaromzet van meer dan 10 miljoen euro
- Organisaties in ‘zeer kritieke’ sectoren met 50-250 werknemers of een jaaromzet van 10 tot 50 miljoen euro of een balanstotaal van 10 tot 43 miljoen euro
Kleine ondernemingen (met minder dan 50 werknemers en een omzet van minder dan 10 miljoen euro) zijn niet automatisch uitgesloten. Lidstaten kunnen ze als ’essentieel’ of ‘belangrijk’ beschouwen als hun diensten een sleutelrol spelen in de samenleving of wanneer een verstoring van de dienstverlening aanzienlijke gevolgen zou hebben voor de openbare veiligheid of volksgezondheid.
Essentiële organisaties worden proactief gecontroleerd op naleving van NIS2, terwijl belangrijke organisaties pas worden onderzocht na een klacht.
Wat als uw bedrijf buiten de EU gevestigd is?
Als uw organisatie niet in de EU gevestigd is, denkt u misschien dat de NIS2-richtlijn geen betrekking op u heeft. Helaas, als uw organisatie onder een van de eerder genoemde categorieën valt en diensten verleent binnen de EU, dan moet u zich houden aan de NIS2-richtlijn.
De NIS2-richtlijn bevat specifieke regels voor organisaties buiten de EU, die diensten in Europa aanbieden. Zij moeten een vertegenwoordiger aanwijzen in een van de EU-lidstaten waar zij hun diensten leveren. Die persoon moet er dan op toezien dat de organisatie de NIS2-richtlijn naleeft.
Wat als u buiten het toepassingsgebied valt?
Indien uw organisatie buiten het toepassingsgebied van NIS2 valt, hoeft u zich geen zorgen te maken over boetes of directe stappen om de regels te implementeren. Maar de kans is groot dat u alsnog impact zult ondervinden.
Stel dat u diensten of producten levert aan een organisatie die wel onder NIS2 valt. In dat geval kan uw klant van u verwachten dat u aan een bepaald niveau van cyberveiligheid voldoet. U wordt dan weliswaar niet gecontroleerd door de autoriteiten, maar wel door uw klant.
Het kan dus verstandig zijn om uw beveiligingsmaatregelen toch af te stemmen op de NIS2-richtlijn. Dat heeft enkele voordelen voor u: het maakt de samenwerking met andere bedrijven gemakkelijker, en u kunt uw klanten laten weten dat u aan de regelgeving voldoet en ze dus op u kunnen vertrouwen.
4. Wat zijn de nalevingsvereisten van NIS2?
Stel, u valt binnen het toepassingsgebied van de NIS2-richtlijn. Wat betekent dat voor uw organisatie en welke stappen moet u nemen?
1. Registratie
Ten laatste op 17 april 2025 moeten de lidstaten een lijst opstellen van alle essentiële en belangrijke entiteiten binnen het toepassingsgebied van NIS2. Details over de registratie zullen duidelijk worden zodra de richtlijn in nationale wetgeving is omgezet. De registratie bevat alvast deze gegevens:
- Naam, adres en registratienummer
- Sector
- Contactgegevens
- Lidstaten waar u actief bent
- Toegewezen IP-adressen
2. Verplichtingen
Dat brengt ons bij de kernvraag: welke maatregelen en verplichtingen gelden er voor de betrokken organisaties? NIS2 verdeelt de vereisen in vier hoofddomeinen:
- Risicobeheer: bedrijven moeten maatregelen nemen om cyberrisico’s te minimaliseren, zoals incidentbeheer, betere beveiliging van de toeleveringsketen, verbeterde netwerkbeveiliging, strengere toegangscontrole en encryptie
- Aansprakelijkheid: het management moet opgeleid worden, toezicht houden op cybersecuritymaatregelen en risico’s aanpakken; overtredingen kunnen leiden tot sancties
- Meldingsplicht: organisaties moeten processen hebben om beveiligingsincidenten met significante impact snel te melden
- Continuïteit: organisaties moeten plannen hoe ze de continuïteit waarborgen in geval van cyberincidenten
3. 10 basisbeveiligingsmaatregelen
Naast de vier hoofddomeinen voorziet NIS2 10 basisbeveiligingsmaatregelen die essentiële en belangrijke entiteiten moeten nemen:
- Risicoanalyse en beveiliging van informatiesystemen
- Evaluatie van beveiligingsmaatregelen
- Beleid en procedures voor het gebruik van cryptografie en, indien relevant, encryptie
- Een plan voor het afhandelen van beveiligingsincidenten
- Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief melding van kwetsbaarheden
- Cybersecuritytraining en basispraktijken rond cyberhygiëne
- Toegangsbeleid en beveiligingsprocedures voor werknemers met toegang tot gevoelige of belangrijke data
- Een plan voor bedrijfscontinuïteit tijdens en na een beveiligingsincident, zoals back-upbeheer, crisisbeheer en plannen voor noodvoorzieningen
- Gebruik van multifactorauthenticatie of continue authenticatieoplossingen, en versleuteling van communicatie
- Beveiliging van de toeleveringsketen en relaties met leveranciers
4. Nieuwe meldingsvereisten
Hopelijk krijgt u hier niet mee te maken, maar bij een beveiligingsincident moet u de juiste instanties informeren. Dit zijn de nieuwe richtlijnen:
- Binnen 24 uur: een ‘early warning’ naar het Computer Security Incident Response Team (CSIRT) of de nationale autoriteit
- Binnen 72 uur: een incidentmelding met een eerste beoordeling van het incident, de ernst en impact ervan
- Binnen 1 maand: een eindrapport met een gedetailleerde beschrijving van het incident, inclusief de ernst en impact, oorzaak en genomen maatregelen
5. Welke sancties zijn er?
Zoals we eerder bespraken, definieert de NIS2-richtlijn twee categorieën voor organisaties binnen het toepassingsgebied. Geen nood, mocht u door het bos de bomen niet meer zien: hier is nog een korte samenvatting.
- Essentiële entiteiten zijn grote organisaties (>250 werknemers of >€50M winst) in sectoren als transport, energie, water en ruimte
- Belangrijke entiteiten zijn middelgrote organisaties (>50 werknemers of >€10M winst) in bovengenoemde sectoren; EN grote en middelgrote organisaties in sectoren als voeding, digitale diensten en onderzoek
De vereisten voor beide categorieën zijn dezelfde; het onderscheid zit in de toezichtmaatregelen en sancties, zoals onderstaande tabellen aantonen.
Sancties
| Essentiële entiteiten | Belangrijke entiteiten |
|---|---|
| Boetes: €10 miljoen of 2% van de globale jaarlijkse inkomsten | Boetes: €7 miljoen of 1,4% van de globale jaarlijkse inkomsten |
| Niet-geldelijke sancties: - Nalevingsbeschikkingen - Bindende instructies - Uitvoeren van beveiligingsaudits - Kennisgeving aan klanten Strafrechtelijke sancties voor het management | Niet-geldelijke sancties: - Nalevingsbeschikkingen - Bindende instructies - Uitvoeren van beveiligingsaudits - Kennisgeving aan klanten Strafrechtelijke sancties voor het management |
! Lidstaten kunnen bepalen dat boetes niet van toepassing zijn op overheidsinstanties. De andere sancties zijn echter wel van toepassing.
Toezichtmaatregelen
| Essentiële entiteiten | Belangrijke entiteiten |
|---|---|
| Actieve controles: externe audits, inspecties, documentatieverzoeken | Toezicht achteraf: er wordt actie ondernomen wanneer autoriteiten bewijs ontvangen van niet-naleving |
6. Hoe bereidt u uw bedrijf voor op NIS2?
Wat staat er concreet te gebeuren voor uw organisatie?
Valt u niet binnen het toepassingsgebied van NIS2? Dan kunt u gerust even opgelucht ademhalen. Ga na welke bedrijven waarmee u samenwerkt wél moeten voldoen aan de nieuwe regelgeving, en wat dit betekent voor uw organisatie. Overweeg ook of en hoe u de nieuwe beveiligingsmaatregelen toch kunt implementeren, aangezien ze u op de langere termijn belangrijke voordelen kunnen bieden.
Valt uw organisatie wel binnen het toepassingsgebied? Dan is het tijd om actie te ondernemen. Volg de onderstaande stappen om te starten met de voorbereidingen op NIS2:
1. Maak een risicoanalyse. Wat zijn de mogelijke beveiligingsrisico’s? Hoe waarschijnlijk zijn ze? Wat is de potentiële impact? En welke maatregelen treft u nu al om deze risico’s te beperken?
2. Update uw beveiligingsbeleid. Pas de bestaande beveiligingsmaatregelen aan, of ontwikkel er nieuwe, op basis van de risicoanalyse. Let erop dat u aan de tien basisvereisten van NIS2 voldoet.
3. Implementeer de beveiligingsmaatregelen. Mogelijkheden zijn: een sterkere netwerkbeveiliging, strengere toegangscontroles, encryptie en beveiliging van de toeleveringsketen. Een digitaal bezoekersbeheersysteem kan hierbij aanzienlijk helpen. Het geeft u controle over uw bezoekersbeheer, beveiligt persoonlijke informatie van bezoekers, en vereenvoudigt incidentrapportage door nauwkeurige lijsten bij te houden van alle bezoekersactiviteiten.
4. Ontwikkel procedures voor het detecteren, monitoren, oplossen en melden van incidenten.
5. Train uw management en personeel. Welke medewerkers vervullen cruciale functies binnen de organisatie? Maak hen bewust van de risico’s en veiligheidsmaatregelen.
6. Bereid u voor op audits en inspecties. Houd duidelijke en uitgebreide gegevens bij van uw beveiligingsbeleid, risicoanalyses, incidentrapporten en nalevingsactiviteiten.
Conclusie
De NIS2-richtlijn is een mijlpaal in het beleid van de Europese Unie om de cybersecurity binnen haar grenzen te versterken. Voor organisaties die onder deze regelgeving vallen, is het naleven van NIS2 niet slechts een wettelijke verplichting, maar ook een kans om hun cyberveiligheid te versterken, hun gegevens te beschermen en vertrouwen op te bouwen bij klanten en partners.
De richtlijn vereist een proactieve aanpak, en het invoeren van een digitaal bezoekersbeheersysteem speelt hierbij een cruciale rol. Een dergelijk systeem helpt op verschillende manieren om aan de NIS2-normen te voldoen. Het verbetert de toegangscontrole, en beschermt de persoonlijke data van bezoekers tegen cyberdreigingen. Het systeem houdt ook nauwkeurige logs bij van bezoekersactiviteiten. Dat laatste maakt het makkelijker om potentiële risico’s te beoordelen, versterkt de beveiliging van de toeleveringsketen en vereenvoudigt – in geval van een beveiligingsincident – het incidentmanagement en -rapportage.
Om een idee te krijgen van hoe digitaal bezoekersbeheer uw bedrijf kan helpen, kunt u Vizito 14 dagen gratis uitproberen. Chat met ons of boek een demo om te ontdekken hoe Vizito uw receptie kan verbeteren.
Probeer Vizito gratis