Het is een tijd waarin zowel technologische mogelijkheden als bedreigingen zich razendsnel ontwikkelen. Als MSP’er (Managed Service Provider) zien we het als onze taak om deze ontwikkelingen op de voet te volgen. Dit doen we door actief te participeren in wereldwijde IT-netwerkgroepen en brancheverenigingen. Samen met onze klanten zijn we daardoor continu aan het werken aan een verbeterde veiligheid.
Alhoewel er bijna dagelijks te lezen is over een (grote) cyberaanval ergens in de wereld merken we nog altijd dat de risico’s en beveiligingsmogelijkheden voor veel bedrijven nog niet altijd duidelijk zijn.
In dit artikel gaan we in op de nieuwe wetgeving die in 2024 impact zal hebben, maar ook welke kansen er zijn. Niet alleen om de ‘eigen’ beveiliging te verbeteren maar ook om een betrouwbare zakenpartner te blijven.
Invoering van de NIS2-wet
NIS staat voor netwerk- en informatiesystemen. Dit is een cybersecurity richtlijn die in 2016 is opgesteld door de Europese Unie. Omdat de ontwikkelingen zo snel gaan is NIS1 verouderd. Niet elke EU lidstaat past deze richtlijn op dezelfde manier toe waardoor er veiligheidsrisico’s ontstaan als bedrijven met andere Europese landen zakendoen. Daarnaast blijft de hoeveelheid cybercrime enorm toenemen: ‘De politie registreerde 14.000 gevallen van cybercrime in 2021. Dat is een toename van bijna een derde vergeleken met een jaar eerder en drie keer meer dan in 2019.’ Dat betekent dat het beveiligen van ons ‘collectieve’ netwerk niet meer vrijblijvend mag zijn.
Eind 2022 is de definitieve versie van de NIS2-richtlijn bekendgemaakt, individuele landen hebben dan nog tot eind 2024 om de nationale wegeving hierop aan te passen. In Nederland is dit de Wet beveiliging netwerk- en informatiesystemen (Wbni).
Wat gaat er veranderen met de nieuwe NIS-2
Alhoewel de wetgeving nog in de maak is, kunnen we al wel opmaken wat er op hoofdlijn zal veranderen.
In NIS1 lag de focus op een beperkte lijst ‘kritische sectoren’, zoals drinkwater en de zorg. In NIS2 wordt deze lijst vergroot met sectoren energie, vervoer, bankwezen, financiële marktinstellingen, gezondheid, drinkwater, afvalwater, digitale infrastructuur, overheidsdiensten, ruimtevaart, post- en koeriersdiensten, afvalbeheer, chemie, voeding, industrie, en digitale aanbieders.
Er zal bij bedrijven in deze sectoren strenger worden gecontroleerd en/of toezicht worden gehouden door de autoriteiten.
Handhaving
Daarnaast wil de EU ook de verantwoordelijkheid die bedrijven én bestuurders hebben wat explicieter maken. Dit betekent dat er gecontroleerd zal worden, maar ook dat er consequenties verbonden mogen worden (boetes tot 10 miljoen of 2% van de omzet) bij het structureel niet nemen van verantwoordelijkheid. De EU hoopt dat er door de nieuwe regels meer informatie-uitwisseling en samenwerking rondom cybercrisisbeheer op de verschillende overheidsniveaus plaats zal vinden
Zorgplicht en meldplicht
De NIS2 directive bestaat uit twee onderdelen: de zorgplicht en de meldplicht. De zorgplicht verplicht organisaties om hun hele infrastructuur veilig te hebben en te houden. Dat betekent onder meer dat het verplicht wordt om de middelen te hebben om te monitoren wat er op het netwerk gebeurt.
Volgens de meldplicht moeten organisaties melding maken (AVG) wanneer ze te maken krijgen met een cyberincident. Die meldplicht geldt nu alleen nog voor datalekken, maar wordt het wordt nu dus ook verplicht om zaken als een ransomware-aanval of misbruik van een kwetsbare plek te melden. Door deze meldplicht kunnen bedrijven beter van elkaar leren hoe ze hun beveiliging kunnen optimaliseren.
Wat betekent dit voor uw bedrijf?
Het lijkt erop dat de handhaving zoals hiervoor beschreven alleen zal gelden voor bedrijven met meer dan 50 werknemers en/of meer dan 10 miljoen euro omzet. Echter betekent dit niet dat er geen verantwoordelijkheid ligt bij de andere bedrijven. ‘Alle bedrijven, ook kleine mkb-bedrijven, die ‘essentiële diensten’ leveren moeten in 2023 voldoen aan de nieuwe ‘cyber security’-richtlijnen.’ volgens Europarlementariër Bart Groothuis.
Voorkeurspositie als ‘ketenpartner’
Uiteraard doet elk bedrijf er goed aan om, los van NIS2 richtlijnen, ‘voor zichzelf’ de basis op orde te hebben. Maar daarnaast zien we ook dat deze nieuwe ‘directive’ gaat betekenen dat (lokale) overheden én grote ondernemingen meer budget zullen vrijmaken voor hun cybersecurity.
Bedrijven met minder dan 50 werknemers en/of minder dan 10 miljoen euro omzet zullen waarschijnlijk niet gecontroleerd worden door de autoriteiten. Echter, zullen deze bedrijven wel klanten hebben die in deze categorie vallen. En die bedrijven zullen ook eisen gaan stellen aan hun toeleveranciers. Denk aan cyberrisico’s die kunnen voortkomen uit e-mail verkeer en digitale portals. Het ‘netwerk’ gaat altijd verder dan het eigen bedrijf en daardoor zullen ‘kleine’ bedrijven die hun cybersecurity op orde hebben daarmee een voorkeurspositie krijgen.
Goed vaderschap van ‘externe’ gegevens
U heeft niet alleen uw eigen data om voor te zorgen, maar uiteraard ook gegevens van klanten, leveranciers en uw personeel. Van alle bedrijven wordt verwacht dat ze voldoen aan goed ‘vaderschap’ over deze gegevens.
Wat is een goede beveiliging?
Er zijn verschillende ‘lagen’ van beveiliging. De eerste laag is een goed slot op de deur:
- Installeer software-updates zodra ze worden aangeboden; herstart wekelijks uw computer en systemen zodat de installaties worden afgerond!
- Richt uw systeem zo in dat u kunt zien wie er is ingelogd. Daarmee hout u controle over wie er in uw systeem werkt.
- Maak zeer frequentie back-ups en test deze ook. Mocht er iets gebeuren, dan kunt u met relatief weinig schade door met de bedrijfsvoering.
- Gebruik MFA (Multi Factor Authentication). Hierdoor wordt het voor hackers al een stuk lastiger en dus minder interessant om binnen te komen
Wat kunt u verder doen om alvast aan de richtlijn te voldoen?
- Zorg dat elke applicatie en elk systeem voldoende loginformatie genereert;
- Bepaal op basis van functies en rollen wie toegang heeft tot data en diensten, bijvoorbeeld door Role Based Access Control (RBAC) in te richten;
- Segmenteer netwerken, zodat het totale bedrijfsnetwerk uit verschillende zones bestaat die niet zomaar gelijktijdig kunnen worden platgelegd;
- Controleer welke apparaten en diensten bereikbaar zijn vanaf het internet en bescherm deze met een firewall, anti-malware en virusscanner;
- Versleutel opslagmedia zoals USB-sticks, externe harde schijven en bedrijfstelefoons met gevoelige bedrijfsinformatie;
Mocht u vragen hebben of interesse in een analyse hoe uw bedrijf ervoor staat, dan kijken we graag hoe we u kunnen helpen!
