Naar de inhoud
Avanet
Wat de EU NIS 2 Richtlijn betekent voor bedrijven

Wat de EU NIS 2 Richtlijn betekent voor bedrijven

3. DECEMBER 2024

De NIS 2-richtlijn van de EU moet cybersecurity in Europa naar een nieuw niveau tillen. Het verscherpt de beveiligingseisen voor bedrijven en breidt het toepassingsgebied uit naar extra sectoren. Hiermee reageert de EU op de toegenomen risico’s van cyberaanvallen en bevordert het een grotere harmonisatie van de beveiligingsnormen binnen de lidstaten.

Introductie tot de NIS 2-richtlijn

De EU-richtlijn inzake netwerk- en informatiebeveiliging, beter bekend als NIS 2, is de opvolger van de eerste NIS-richtlijn uit 2016. Het is ontwikkeld om te reageren op de steeds groter wordende bedreigingen voor cybersecurity binnen de EU, die met name werden verergerd door de toenemende digitalisering en de COVID-19-pandemie. De nieuwe NIS 2-richtlijn is op 16 januari 2023 aangenomen en de lidstaten hebben tot 17 oktober 2024 de tijd om deze om te zetten in nationale wetgeving.

De hoofddoelstellingen van de NIS 2-richtlijn zijn het verhogen van de beveiligingseisen in de EU, het optimaliseren van de rapportage van beveiligingsincidenten en het harmoniseren van de sanctieregelingen tussen de lidstaten. Dit wordt bereikt door het toepassingsgebied van de richtlijn uit te breiden naar verdere sectoren en entiteiten. De richtlijn heeft tot doel alle relevante actoren, zowel publieke als private, te verplichten tot een hoog niveau van cyberbeveiliging. Dit zal leiden tot een grotere harmonisatie van de beveiligingsnormen binnen de EU om de bescherming van kritieke diensten te verbeteren en een hogere veerkracht tegen cyberaanvallen te garanderen.

De NIS 2-richtlijn zorgt ervoor dat de EU technologisch en regelgevend is toegerust om de uitdagingen van cybersecurity het hoofd te bieden, zelfs in een steeds digitalere wereld. In een tijd waarin de bedreigingen van cybercriminelen steeds complexer en agressiever worden, is het cruciaal om een hoog beveiligingsniveau te waarborgen door middel van duidelijke specificaties en strikte eisen. Dit geldt niet alleen voor kritieke infrastructuren, maar ook voor een breed scala aan bedrijven die essentiële diensten leveren voor het maatschappelijk leven.

Waarom is NIS 2 noodzakelijk?

De NIS 2-richtlijn is ontstaan als reactie op de toenemende bedreigingen voor cybersecurity. COVID-19 en digitalisering hebben de afhankelijkheid van digitale infrastructuren vergroot en daarmee ook het risico op cyberaanvallen. De bedreigingen van ransomware en andere cyberaanvallen hebben inmiddels een industrieel niveau bereikt, waardoor het noodzakelijk is om de cybersecurity-standaarden binnen de EU te standaardiseren en te verbeteren. Aanvallen op kritieke infrastructuren en bedrijven kunnen verwoestende effecten hebben en verstrekkende gevolgen voor de samenleving met zich meebrengen. Daarom is de aanpassing en uitbreiding van de richtlijn een essentiële stap om deze bedreigingen beter te kunnen bestrijden.

Een ander centraal element van de NIS 2-richtlijn is de versterking van cybersecurity binnen toeleveringsketens. Dit betekent dat niet alleen kritieke infrastructuren moeten worden beveiligd, maar ook hun toeleveranciers en dienstverleners, om risico’s in de gehele toeleveringsketen te minimaliseren. Dit is van bijzonder belang, aangezien veel bedrijven nauw samenwerken met partners en leveranciers en zo potentiële beveiligingslekken kunnen ontstaan die aanvallers zouden kunnen uitbuiten. Een stabiele en veilige toeleveringsketen is cruciaal om de risico’s voor alle betrokken actoren te minimaliseren en ervoor te zorgen dat cybersecurity alomvattend wordt beschouwd.

De NIS 2-richtlijn heeft ook tot doel een cultuur van cybersecurity binnen de gehele EU te bevorderen. Dit betekent niet alleen de introductie van technische en organisatorische acties, maar ook het bevorderen van samenwerking tussen de EU-lidstaten. De oprichting van nationale Computer Security Incident Response Teams (CSIRT’s) en de aanwijzing van nationale autoriteiten die verantwoordelijk zijn voor de cybersecurity-strategie en het crisisbeheer dragen bij aan het creëren van een sterke beveiligingsinfrastructuur. De CSIRT’s zijn verantwoordelijk voor de snelle reactie op incidenten en de coördinatie met andere landen om de impact van aanvallen te minimaliseren en de beveiliging te verhogen.

De NIS 2-richtlijn vereist bovendien de oprichting van een samenwerkingsgroep die de samenwerking en informatie-uitwisseling tussen de lidstaten ondersteunt. Deze groep bevordert strategische samenwerking en zorgt ervoor dat de EU snel kan reageren op nieuwe bedreigingen. De informatie-uitwisseling tussen de lidstaten maakt het mogelijk om bedreigingen sneller te identificeren en te bestrijden, en helpt daarbij een gemeenschappelijke beveiligingsbasis te creëren. Door deze maatregelen wordt de EU weerbaarder tegen aanvallen en kan zij beter reageren op cyberdreigingen.

Essentiële vernieuwingen van de NIS 2-richtlijn

Uitgebreid toepassingsgebied

De oorspronkelijke NIS-richtlijn dekte een aantal kritieke sectoren, waaronder gezondheidszorg, energie, transport en digitale infrastructuur. De NIS 2-richtlijn breidt dit toepassingsgebied uit naar 18 sectoren, inclusief openbaar bestuur, onderzoek, ruimtevaart en de voedselvoorzieningsketen. Deze uitbreiding is noodzakelijk omdat veel van de sectoren die vandaag als kritiek worden beschouwd, voorheen onvoldoende gedekt waren door de wetgeving. Het uitgebreide toepassingsgebied zorgt ervoor dat een verscheidenheid aan belangrijke infrastructuren wordt beschermd, waardoor de veerkracht van de Europese samenleving wordt versterkt.

Nieuw gedekte sectoren omvatten ook gebieden zoals afvalbeheer, ruimtevaart, de voedselvoorzieningsketen en aanbieders van openbare postdiensten. Deze sectoren zijn van cruciaal belang voor het dagelijks leven en het algemeen welzijn van burgers. De uitbreiding van het toepassingsgebied zorgt ervoor dat niet alleen klassieke kritieke infrastructuren, maar ook andere voor het openbare leven belangrijke diensten worden beschermd. Dit is met name belangrijk om ervoor te zorgen dat cybersecuritymaatregelen zo uitgebreid mogelijk zijn en alle potentiële aanvalspunten dekken.

Een ander belangrijk aspect van de NIS 2-richtlijn is het onderscheid tussen “essentiële” en “belangrijke” entiteiten. Essentiële entiteiten zijn bedrijven waarvan de diensten van centraal belang zijn voor het maatschappelijk leven en waarvan het uitvallen ernstige gevolgen zou kunnen hebben. Belangrijke entiteiten zijn eveneens van groot belang, maar de mogelijke gevolgen van een uitval zijn minder verstrekkend. Dit onderscheid maakt het mogelijk om de middelen gericht in te zetten waar ze het meest nodig zijn, en de hoogste beveiligingseisen toe te passen op de meest kwetsbare gebieden.

Nieuwe cybersecurity-eisen

De NIS 2-richtlijn voorziet in een aantal nieuwe eisen, waaronder:

  1. Risicomanagementmaatregelen: Men moet passende technische, organisatorische en operationele stappen ondernemen om de risico’s voor netwerken en informatiesystemen te beheersen. Deze maatregelen omvatten risicoanalyse, implementatie van beveiligingsbeleid en waarborging van back-ups en crisismanagement. Regelmatige kwetsbaarheidsanalyses en penetratietests zijn ook vereist om ervoor te zorgen dat mogelijke aanvalspunten vroegtijdig kunnen worden ontdekt en verholpen.
  2. Rapportageplichten: Bij incidenten moet binnen 24 uur een eerste melding aan de nationale autoriteiten plaatsvinden, gevolgd door verdere updates binnen 72 uur. Het doel is om bedreigingen sneller te identificeren en EU-brede samenwerking bij incidentmanagement te bevorderen. Bedrijven moeten ervoor zorgen dat alle beveiligingsrelevante informatie gedetailleerd wordt vastgelegd en gerapporteerd, zodat de verantwoordelijke autoriteiten een uitgebreid situatiebeeld hebben.
  3. Aansprakelijkheid van het management: Het management wordt direct verantwoordelijk gehouden voor de naleving van de NIS 2-voorschriften. Bij overtredingen dreigen hoge geldboetes of in extreme gevallen zelfs een tijdelijk verbod op het uitoefenen van managementtaken. Dit moet ervoor zorgen dat de bedrijfsleiding cybersecurity serieus neemt en passende acties proactief ondersteunt. De persoonlijke aansprakelijkheid van de directie dient als stimulans om ervoor te zorgen dat de noodzakelijke beveiligingsmaatregelen niet alleen gepland, maar ook daadwerkelijk worden geïmplementeerd.
  4. Certificering en Audit: De naleving van de eisen moet worden aangetoond door regelmatige audits of beveiligingsaudits. Hoewel expliciete certificering niet wordt voorgeschreven, kan deze door nationale wetgeving verplicht worden. Audits zijn een essentieel instrument om de implementatie van cybersecuritymaatregelen te beoordelen en indien nodig aan te passen. Het wordt aanbevolen om beveiligingsstandaarden zoals ISO/IEC 27001 te gebruiken om ervoor te zorgen dat de cybersecuritymaatregelen voldoen aan internationaal erkende best practices.

Straffen bij niet-naleving

De NIS 2-richtlijn voorziet in hoge straffen als men niet voldoet aan de eisen. Voor “essentiële entiteiten” zijn boetes tot 10 miljoen euro of 2% van de wereldwijde jaaromzet voorzien, afhankelijk van welk bedrag hoger is. Voor “belangrijke entiteiten” zijn boetes tot 7 miljoen euro of 1,4% van de jaaromzet mogelijk. Deze hoge straffen zijn bedoeld om de naleving van de beveiligingseisen af te dwingen en ervoor te zorgen dat cybersecurity als een prioriteit wordt beschouwd. Naast de financiële straffen kunnen ook persoonlijke aansprakelijkheid en juridische gevolgen voor het management van het bedrijf ontstaan, vooral bij ernstige overtredingen.

Hoe Sophos helpt bij de naleving van NIS 2

Sophos biedt een verscheidenheid aan oplossingen die ondersteuning bieden bij de naleving van de NIS 2-richtlijn. Deze omvatten onder andere:

  • Sophos Phish Threat: Een tool voor medewerkertraining die gesimuleerde phishing-aanvallen uitvoert om de beveiliging op de werkplek te verhogen. Door continue training worden medewerkers in staat gesteld om phishing-aanvallen te herkennen en zich er proactief tegen te beschermen, wat een van de meest effectieve maatregelen tegen cyberdreigingen is. Blogpost over Sophos Phish Threat
  • Sophos Managed Detection and Response (MDR): 24/7 monitoring van de beveiligingsomgeving die incidenten detecteert en erop reageert voordat ze een negatieve impact kunnen hebben. Sophos MDR combineert geavanceerde technologieën met menselijke expertise om ervoor te zorgen dat bedreigingen tijdig worden geïdentificeerd en geneutraliseerd.
  • Sophos Firewall: Biedt uitgebreide netwerkbeveiliging die is afgestemd op de eisen van de NIS 2-richtlijn en maakt het mogelijk om bedreigingen vroegtijdig te detecteren en te stoppen. De Sophos Firewall biedt diepgaande inzichten in het netwerkverkeer en maakt een nauwkeurige controle van de datastroom mogelijk om potentiële bedreigingen te isoleren.
  • Sophos Cloud Optix: Een tool die continu cloud-omgevingen monitort en ervoor zorgt dat configuratiestandaarden worden nageleefd om manipulaties te voorkomen. Met Sophos Cloud Optix kunnen bedrijven ervoor zorgen dat hun cloud-middelen altijd voldoen aan de beste beveiligingspraktijken en potentiële risico’s tijdig worden geïdentificeerd.
  • Sophos XDR (Extended Detection and Response): Stelt analisten in staat om bedreigingen over alle belangrijke aanvalsoppervlakken heen te detecteren, analyseren en erop te reageren. Sophos XDR verzamelt en correleert gegevens uit verschillende bronnen en biedt een uitgebreid beeld van de beveiligingshouding van een bedrijf, wat een snelle reactie op incidenten mogelijk maakt.

Sophos-oplossingen dekken veel van de in de NIS 2-richtlijn gestipuleerde eisen en helpen om optimaal voorbereid te zijn op potentiële bedreigingen. Met deze uitgebreide beveiligingsoplossingen kan men ervoor zorgen dat de nodige voorzorgsmaatregelen voor naleving van de richtlijn worden geïmplementeerd en tegelijkertijd de algehele beveiligingssituatie van het bedrijf wordt versterkt.

Meer informatie is te vinden op de Sophos NIS-2-website.

Wat moet er gebeuren?

Om ervoor te zorgen dat men voldoet aan de eisen van de NIS 2-richtlijn, moeten enkele centrale maatregelen worden genomen:

  1. Analyse van de eisen: Men moet ervoor zorgen dat het eigen bedrijf valt onder de categorie “essentiële” of “belangrijke” entiteit en beoordelen welke procedures nodig zijn om te voldoen aan de eisen van de NIS 2-richtlijn. Deze analyse moet grondig en systematisch plaatsvinden om kwetsbaarheden te identificeren en de nodige stappen voor remediëring te initiëren.
  2. Implementatie van strategieën: De noodzakelijke technische, organisatorische en operationele stappen moeten worden geïmplementeerd. Dit omvat het uitvoeren van risicoanalyses, het opstellen van beveiligingsbeleid, en de implementatie van noodbeheer en regelmatige training van medewerkers. Medewerkerstraining is een belangrijk onderdeel van de beveiligingsstrategie, aangezien de menselijke component vaak de grootste kwetsbaarheid vertegenwoordigt.
  3. Gebruik van geschikte tools: Men moet geschikte IT-beveiligingsoplossingen gebruiken, zoals die van Sophos, om te voldoen aan de eisen van de richtlijn en ervoor te zorgen dat het bedrijf beschermd is. De gebruikte tools moeten regelmatig worden bijgewerkt en hun effectiviteit moet worden gecontroleerd om ervoor te zorgen dat ze bestand zijn tegen de nieuwste bedreigingen.
  4. Regelmatige controle en aanpassing: Het cybersecurity-landschap verandert voortdurend, daarom is het belangrijk om periodieke controles van de beveiligingsmaatregelen uit te voeren en deze indien nodig aan te passen. Bedrijven moeten ervoor zorgen dat zij up-to-date zijn met de nieuwste technologie en hun beveiligingsstrategieën continu verbeteren om nieuwe bedreigingen altijd een stap voor te blijven.

Laatste woorden

De NIS 2-richtlijn is een belangrijke stap in de richting van verbetering van cybersecurity in Europa. Men moet nu de nodige voorzorgsmaatregelen nemen om ervoor te zorgen dat aan de nieuwe eisen wordt voldaan en de bescherming van netwerken en systemen wordt verbeterd. Dit is met name belangrijk, aangezien de bedreigingen in de digitale ruimte voortdurend toenemen en alleen door een gezamenlijke en gecoördineerde aanpak effectief kunnen worden bestreden.

Met de uitgebreide ondersteuning van oplossingen zoals die van Sophos kan men deze uitdaging het hoofd bieden en ervoor zorgen dat zowel aan de eisen van de richtlijn wordt voldaan als dat de algehele beveiligingssituatie van het bedrijf wordt versterkt. De implementatie van de NIS 2-richtlijn is een kans om de eigen beveiligingsarchitectuur te herzien en te verbeteren, om zo niet alleen te voldoen aan de wettelijke eisen, maar ook om het bedrijf als geheel weerbaarder te maken tegen cyberdreigingen.

Patrizio

Patrizio

Patrizio is een ervaren netwerkspecialist met focus op Sophos-firewalls, switches en access points. Hij ondersteunt klanten en IT-teams bij configuratie, migratie en een schone netwerksegmentatie.