Naar de inhoud
Avanet
Wat de EU NIS 2-richtlijn betekent voor bedrijven

Wat de EU NIS 2-richtlijn betekent voor bedrijven

De NIS 2-richtlijn van de EU moet cybersecurity in Europa naar een nieuw niveau tillen. De richtlijn verscherpt de beveiligingseisen voor bedrijven en breidt het toepassingsgebied uit naar extra sectoren. Daarmee reageert de EU op de toegenomen risico’s door cyberaanvallen en bevordert zij een sterkere harmonisatie van de beveiligingsnormen binnen de lidstaten.

Introductie tot de NIS 2-richtlijn

De EU-richtlijn inzake netwerk- en informatiebeveiliging, beter bekend als NIS 2, is de opvolger van de eerste NIS-richtlijn uit 2016. Zij werd ontwikkeld als reactie op de steeds groter wordende cybersecuritydreigingen binnen de EU, die met name door de toenemende digitalisering en de COVID-19-pandemie zijn verscherpt. De nieuwe NIS 2-richtlijn is op 16 januari 2023 aangenomen en de lidstaten hebben tot 17 oktober 2024 de tijd om deze om te zetten in nationale wetgeving.

De hoofddoelstellingen van de NIS 2-richtlijn zijn het verhogen van de beveiligingseisen in de EU, het verbeteren van de rapportage bij beveiligingsincidenten en het harmoniseren van de sanctieregelingen tussen de lidstaten. Dit wordt bereikt door het toepassingsgebied van de richtlijn uit te breiden naar verdere sectoren en entiteiten. De richtlijn heeft tot doel alle relevante actoren, zowel publiek als privaat, te verplichten tot een hoog niveau van cyberbeveiliging. Daarmee ontstaat een sterkere harmonisatie van de beveiligingsnormen binnen de EU, waardoor kritieke diensten beter worden beschermd en de weerbaarheid tegen cyberaanvallen toeneemt.

De NIS 2-richtlijn moet ervoor zorgen dat de EU in een steeds verder digitaliserende wereld technologisch en regelgevend is voorbereid op cybersecurity-uitdagingen. In een tijd waarin dreigingen door cybercriminelen steeds complexer en agressiever worden, is het cruciaal om met duidelijke regels en strikte eisen een hoog beveiligingsniveau te waarborgen. Dit geldt niet alleen voor kritieke infrastructuren, maar ook voor een breed scala aan bedrijven die essentiële diensten voor het maatschappelijk leven leveren.

Waarom is NIS 2 noodzakelijk?

De NIS 2-richtlijn is ontstaan als reactie op de toenemende cybersecuritydreigingen. COVID-19 en digitalisering hebben de afhankelijkheid van digitale infrastructuren vergroot en daarmee ook het risico op cyberaanvallen verhoogd. Dreigingen door ransomware en andere cyberaanvallen hebben inmiddels een industrieel niveau bereikt, waardoor het noodzakelijk is om de cybersecuritystandaarden binnen de EU te harmoniseren en te verbeteren. Aanvallen op kritieke infrastructuren en bedrijven kunnen verwoestende gevolgen hebben en verstrekkende consequenties voor de samenleving veroorzaken. Daarom is de aanpassing en uitbreiding van de richtlijn een essentiële stap om deze dreigingen beter het hoofd te bieden.

Een ander centraal element van de NIS 2-richtlijn is de versterking van cybersecurity binnen toeleveringsketens. Dit betekent dat niet alleen kritieke infrastructuren moeten worden beveiligd, maar ook hun toeleveranciers en dienstverleners, om risico’s in de volledige toeleveringsketen te minimaliseren. Dit is van bijzonder belang, omdat veel bedrijven nauw samenwerken met partners en leveranciers. Daardoor kunnen potentiële beveiligingslekken ontstaan die aanvallers kunnen uitbuiten. Een stabiele en veilige toeleveringsketen is cruciaal om de risico’s voor alle betrokken actoren te minimaliseren en ervoor te zorgen dat cybersecurity integraal wordt bekeken.

De NIS 2-richtlijn heeft ook tot doel een cultuur van cybersecurity binnen de hele EU te bevorderen. Dit betekent niet alleen de invoering van technische en organisatorische maatregelen, maar ook het versterken van de samenwerking tussen de EU-lidstaten. De oprichting van nationale Computer Security Incident Response Teams (CSIRT’s) en de aanwijzing van nationale autoriteiten die verantwoordelijk zijn voor cybersecuritystrategie en crisisbeheer dragen bij aan een sterke beveiligingsinfrastructuur. De CSIRT’s zijn verantwoordelijk voor snelle reactie op incidenten en coördinatie met andere landen om de gevolgen van aanvallen te beperken en de beveiliging te verhogen.

De NIS 2-richtlijn vereist bovendien de oprichting van een samenwerkingsgroep die samenwerking en informatie-uitwisseling tussen de lidstaten ondersteunt. Deze groep bevordert strategische samenwerking en zorgt ervoor dat de EU snel op nieuwe dreigingen kan reageren. Informatie-uitwisseling tussen de lidstaten maakt het mogelijk om dreigingen sneller te identificeren en te bestrijden, en helpt een gezamenlijke beveiligingsbasis te creëren. Door deze maatregelen wordt de EU weerbaarder tegen aanvallen en kan zij beter reageren op cyberdreigingen.

Essentiële vernieuwingen van de NIS 2-richtlijn

Uitgebreid toepassingsgebied

De oorspronkelijke NIS-richtlijn dekte een aantal kritieke sectoren, waaronder gezondheidszorg, energie, transport en digitale infrastructuur. De NIS 2-richtlijn breidt dit toepassingsgebied uit naar 18 sectoren, inclusief openbaar bestuur, onderzoek, ruimtevaart en de voedselvoorzieningsketen. Deze uitbreiding is noodzakelijk omdat veel van de sectoren die vandaag als kritiek worden beschouwd, voorheen onvoldoende gedekt waren door de wetgeving. Het uitgebreide toepassingsgebied zorgt ervoor dat een verscheidenheid aan belangrijke infrastructuren wordt beschermd, waardoor de veerkracht van de Europese samenleving wordt versterkt.

Tot de nieuw afgedekte sectoren behoren ook gebieden zoals afvalbeheer, ruimtevaart, de voedselvoorzieningsketen en aanbieders van openbare postdiensten. Deze sectoren zijn van cruciaal belang voor het dagelijks leven en het algemene welzijn van burgers. De uitbreiding van het toepassingsgebied zorgt ervoor dat niet alleen klassieke kritieke infrastructuren, maar ook andere diensten die belangrijk zijn voor het openbare leven worden beschermd. Dit is met name belangrijk om ervoor te zorgen dat cybersecuritymaatregelen zo breed mogelijk werken en alle potentiële aanvalspunten afdekken.

Een ander belangrijk aspect van de NIS 2-richtlijn is het onderscheid tussen “essentiële” en “belangrijke” entiteiten. Essentiële entiteiten zijn bedrijven waarvan de diensten van centraal belang zijn voor het maatschappelijk leven en waarvan het uitvallen ernstige gevolgen zou kunnen hebben. Belangrijke entiteiten zijn eveneens van groot belang, maar de mogelijke gevolgen van een uitval zijn minder verstrekkend. Dit onderscheid maakt het mogelijk om de middelen gericht in te zetten waar ze het meest nodig zijn, en de hoogste beveiligingseisen toe te passen op de meest kwetsbare gebieden.

Nieuwe cybersecurity-eisen

De NIS 2-richtlijn voorziet in een aantal nieuwe eisen, waaronder:

  1. Risicomanagementmaatregelen: Men moet passende technische, organisatorische en operationele stappen nemen om de risico’s voor netwerken en informatiesystemen te beheersen. Deze maatregelen omvatten risicoanalyse, implementatie van beveiligingsbeleid en het waarborgen van back-ups en crisismanagement. Regelmatige kwetsbaarheidsanalyses en penetratietests zijn eveneens vereist om ervoor te zorgen dat mogelijke aanvalspunten vroegtijdig worden ontdekt en verholpen.
  2. Rapportageplichten: Bij incidenten moet binnen 24 uur een eerste melding aan de nationale autoriteiten plaatsvinden, gevolgd door verdere updates binnen 72 uur. Het doel is om dreigingen sneller te identificeren en EU-brede samenwerking bij incidentafhandeling te bevorderen. Bedrijven moeten ervoor zorgen dat alle beveiligingsrelevante informatie gedetailleerd wordt vastgelegd en gemeld, zodat de verantwoordelijke autoriteiten over een volledig situatiebeeld beschikken.
  3. Aansprakelijkheid van het management: Het management wordt direct verantwoordelijk gehouden voor de naleving van de NIS 2-voorschriften. Bij overtredingen dreigen hoge geldboetes of in extreme gevallen zelfs een tijdelijk verbod op het uitoefenen van managementtaken. Dit moet ervoor zorgen dat de bedrijfsleiding cybersecurity serieus neemt en passende maatregelen proactief ondersteunt. De persoonlijke aansprakelijkheid van de directie dient als stimulans om ervoor te zorgen dat de noodzakelijke beveiligingsmaatregelen niet alleen worden gepland, maar ook daadwerkelijk worden uitgevoerd.
  4. Certificering en audit: De naleving van de eisen moet door regelmatige audits of beveiligingsaudits worden aangetoond. Hoewel expliciete certificering niet wordt voorgeschreven, kan deze door nationale wetgeving verplicht worden. Audits zijn een essentieel instrument om de implementatie van cybersecuritymaatregelen te beoordelen en indien nodig aan te passen. Het wordt aanbevolen om beveiligingsstandaarden zoals ISO/IEC 27001 te gebruiken om ervoor te zorgen dat de cybersecuritymaatregelen voldoen aan internationaal erkende best practices.

Straffen bij niet-naleving

De NIS 2-richtlijn voorziet in hoge straffen wanneer men niet aan de eisen voldoet. Voor “essentiële entiteiten” zijn boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voorzien, afhankelijk van welk bedrag hoger is. Voor “belangrijke entiteiten” zijn boetes tot 7 miljoen euro of 1,4% van de jaaromzet mogelijk. Deze hoge straffen zijn bedoeld om naleving van de beveiligingseisen af te dwingen en ervoor te zorgen dat cybersecurity als prioriteit wordt behandeld. Naast financiële straffen kunnen ook persoonlijke aansprakelijkheid en juridische gevolgen voor de bedrijfsleiding ontstaan, vooral bij ernstige overtredingen.

Hoe Sophos helpt bij de naleving van NIS 2

Sophos biedt verschillende oplossingen die helpen bij de naleving van de NIS 2-richtlijn. Deze omvatten onder andere:

  • Sophos Phish Threat: Een tool voor medewerkertraining die gesimuleerde phishing-aanvallen uitvoert om de beveiliging op de werkplek te verhogen. Door continue training leren medewerkers phishing-aanvallen herkennen en zich er proactief tegen beschermen. Dat is een van de meest effectieve maatregelen tegen cyberdreigingen. Blogpost over Sophos Phish Threat
  • Sophos Managed Detection and Response (MDR): 24/7 monitoring van de beveiligingsomgeving die incidenten detecteert en erop reageert voordat ze negatieve gevolgen kunnen hebben. Sophos MDR combineert geavanceerde technologieën met menselijke expertise om ervoor te zorgen dat dreigingen tijdig worden geïdentificeerd en geneutraliseerd.
  • Sophos Firewall: Biedt uitgebreide netwerkbeveiliging die is afgestemd op de eisen van de NIS 2-richtlijn en maakt het mogelijk om dreigingen vroegtijdig te detecteren en te stoppen. De Sophos Firewall biedt diepgaand inzicht in het netwerkverkeer en maakt nauwkeurige controle van de datastroom mogelijk om potentiële dreigingen te isoleren.
  • Sophos Cloud Optix: Een tool die cloudomgevingen continu bewaakt en ervoor zorgt dat configuratiestandaarden worden nageleefd om manipulatie te voorkomen. Met Sophos Cloud Optix kunnen bedrijven ervoor zorgen dat hun cloudresources altijd voldoen aan best practices voor beveiliging en dat potentiële risico’s tijdig worden geïdentificeerd.
  • Sophos XDR (Extended Detection and Response): Stelt analisten in staat om dreigingen over alle belangrijke aanvalsoppervlakken heen te detecteren, te analyseren en erop te reageren. Sophos XDR verzamelt en correleert gegevens uit verschillende bronnen en biedt een uitgebreid beeld van de beveiligingssituatie van een bedrijf, wat een snelle reactie op incidenten mogelijk maakt.

De Sophos-oplossingen dekken veel van de in de NIS 2-richtlijn voorgeschreven eisen af en helpen om zo goed mogelijk voorbereid te zijn op potentiële dreigingen. Met deze uitgebreide beveiligingsoplossingen kan men ervoor zorgen dat de noodzakelijke maatregelen voor naleving van de richtlijn worden uitgevoerd en tegelijk de algemene beveiligingssituatie van het bedrijf wordt versterkt.

Meer informatie is te vinden op de Sophos NIS-2-website.

Wat moet er gebeuren?

Om ervoor te zorgen dat men voldoet aan de eisen van de NIS 2-richtlijn, moeten enkele centrale maatregelen worden genomen:

  1. Analyse van de eisen: Men moet vaststellen of het eigen bedrijf onder de categorie “essentiële” of “belangrijke” entiteit valt en beoordelen welke procedures nodig zijn om aan de eisen van de NIS 2-richtlijn te voldoen. Deze analyse moet grondig en systematisch plaatsvinden om kwetsbaarheden te identificeren en noodzakelijke stappen voor verbetering in gang te zetten.
  2. Implementatie van strategieën: De noodzakelijke technische, organisatorische en operationele stappen moeten worden geïmplementeerd. Dit omvat het uitvoeren van risicoanalyses, het opstellen van beveiligingsbeleid, de implementatie van noodbeheer en regelmatige training van medewerkers. Medewerkerstraining is een belangrijk onderdeel van de beveiligingsstrategie, omdat de menselijke factor vaak de grootste kwetsbaarheid vormt.
  3. Gebruik van geschikte tools: Men moet geschikte IT-beveiligingsoplossingen gebruiken, zoals die van Sophos, om aan de eisen van de richtlijn te voldoen en ervoor te zorgen dat het bedrijf beschermd is. De gebruikte tools moeten regelmatig worden bijgewerkt en hun effectiviteit moet worden gecontroleerd, zodat ze bestand zijn tegen de nieuwste dreigingen.
  4. Regelmatige controle en aanpassing: Het cybersecuritylandschap verandert voortdurend. Daarom is het belangrijk om periodiek de beveiligingsmaatregelen te controleren en deze indien nodig aan te passen. Bedrijven moeten ervoor zorgen dat zij technologisch up-to-date blijven en hun beveiligingsstrategieën continu verbeteren om nieuwe dreigingen altijd een stap voor te blijven.

Laatste woorden

De NIS 2-richtlijn is een belangrijke stap om cybersecurity in Europa te verbeteren. Men moet nu de nodige maatregelen nemen om ervoor te zorgen dat aan de nieuwe eisen wordt voldaan en de bescherming van netwerken en systemen wordt verbeterd. Dit is vooral belangrijk omdat de dreigingen in de digitale ruimte blijven toenemen en alleen met een gezamenlijke en gecoördineerde aanpak effectief kunnen worden bestreden.

Met de uitgebreide ondersteuning van oplossingen zoals die van Sophos kan men deze uitdaging het hoofd bieden en ervoor zorgen dat zowel aan de eisen van de richtlijn wordt voldaan als de eigen beveiliging wordt versterkt. De implementatie van de NIS 2-richtlijn is een kans om de eigen beveiligingsarchitectuur te controleren en te verbeteren, zodat het bedrijf niet alleen aan wettelijke eisen voldoet, maar als geheel ook weerbaarder wordt tegen cyberdreigingen.

Patrizio

Patrizio

Patrizio is een ervaren netwerkspecialist met focus op Sophos-firewalls, switches en access points. Hij ondersteunt klanten en IT-teams bij configuratie, migratie en een schone netwerksegmentatie.