De laatste jaren zijn we getuige geweest van een groeiende kwetsbaarheid van onze samenleving en economie, en geconfronteerd met een scala aan uitdagingen. We leven in een tijd waarin gegevens een cruciale rol spelen en de voortdurende evolutie van technologieën geavanceerdere cyberdreigingen vormen.

Het is noodzakelijk om te anticiperen en te reageren op deze steeds complexere cyberdreigingen die de veiligheid van mensen, systemen en informatie in gevaar brengen. Daarom is er sinds 2020 binnen de Europese Unie hard gewerkt aan de Network & Information Security (NIS2) richtlijn, welke volgend jaar (oktober 2024) in Nederland zal gelden.

Waarom NIS2?

De NIS2 is gericht op het verbeteren van de bescherming van vitale sectoren in de EU tegen cyberaanvallen, met als uiteindelijk doel zowel de stabiliteit van de economie als de veiligheid van de maatschappij te versterken.

In de huidige wereldpolitiek draait het niet meer om de vraag of een cruciale organisatie zal worden getroffen door een cyberaanval, maar eerder om wanneer dat zal plaatsvinden. Verschillende rapporten, waaronder het Nationaal Coördinator Terrorismebestrijding en Veiligheid rapport uit 2022, onderstrepen dat het risico op beveiligingsincidenten aanzienlijk hoog blijft en naar verwachting alleen maar zal toenemen. De noodzaak om proactieve maatregelen te nemen om deze dreigingen het hoofd te bieden wordt dus steeds urgenter om een veerkrachtige en weerbaardere samenleving te waarborgen.

Wat gaat er veranderen met NIS2

NIS2 is een uitbreiding van NIS1 en legt aanzienlijk strengere eisen op aan bedrijven en organisaties. Waar NIS1 voornamelijk gold voor een beperkt aantal sectoren, omvat NIS2 nu regelgeving voor een veel breder scala aan sectoren. Het legt striktere veiligheidsnormen vast voor organisaties met betrekking tot de bescherming van hun ICT-systemen.

Samengevat houdt deze uitbreiding het volgende in:

• Vergroten van bewustwording en een uitgebreide risico-inschatting
• Identificeren van cruciale systemen, producten, informatie en processen
• Implementeren van passende beveiligingsmaatregelen
• Detecteren of monitoren van mogelijke (cyber)beveiligingsincidenten
• Doeltreffende reacties op een daadwerkelijke aanval vastleggen
• In het geval van een daadwerkelijke aanval: herstellen van de schade en het invoeren van verbetermaatregelen om soortgelijke toekomstige aanvallen te voorkomen

Wat betekent dit voor security awareness binnen mijn organisatie?

De striktere veiligheidsnormen met betrekking tot ICT-systemen, uitvoering en verantwoordelijkheden kunnen een ingrijpende invloed hebben op zowel de bestaande ICT-systemen als de organisatorische inrichting van de organisatie.

Een belangrijk onderwerp dat terugkomt in de NIS2 is security awareness. NIS2 en security awareness zijn nauw met elkaar verbonden omdat NIS2 niet alleen gericht is op technische maatregelen, maar ook op het bevorderen van een bewustzijnscultuur binnen organisaties. Het benadrukt de essentie van bewustwording en training van medewerkers.

Daarbij omvat security awareness niet alleen het begrijpen van potentiële dreigingen en het herkennen van verdachte activiteiten, maar ook het correct handelen bij mogelijke cyberaanvallen. NIS2 legt daarom nadruk op de verplichting voor organisaties om niet alleen te investeren in technologische beveiliging van systemen, maar ook in het opleiden en informeren van personeel over risico’s en ‘best practices’ op het gebied van cybersecurity.

Hoe nu verder?

Het is belangrijk voor organisaties om zich voor te bereiden op deze veranderingen en zich aan te passen aan de aangescherpte eisen. Wacht daarom niet af, maar zet nu al concrete stappen. De risico’s waaraan organisaties en systemen worden blootgesteld zijn ook nu al aanwezig. Organisaties die nu actie ondernemen, beschermen zich niet alleen tegen deze bestaande risico’s, maar zijn ook beter voorbereid op de komst van de nieuwe wetgeving.

Dit vereist een proactieve aanpak, dus focus hierbij op het volgende:

• Voer een diepgaande risicoanalyse uit voor zowel fysieke als digitale dreigingen.

• Creëer een robuust cybersecurity-raamwerk dat zowel organisatorische als technische maatregelen omvat. Dit omvat a. het opstellen van beleid, trainingsprogramma’s en incidentresponsplannen.

• Implementeer passende maatregelen om de organisatie beter te beschermen tegen risico’s. Denk hierbij aan het inzetten van firewalls, antivirussoftware, toegangscontrolesystemen en updates van beveiligingsprotocollen.

• Ontwikkel duidelijke procedures die de organisatie in staat stellen om verstoringen in bedrijfsprocessen te detecteren, monitoren, oplossen en te rapporteren. Hierdoor kan de organisatie snel reageren op incidenten en lessen trekken uit eventuele kwetsbaarheden.

• Investeer in training en bewustwordingsprogramma’s voor medewerkers. Door werknemers bewust te maken van mogelijke risico’s en hen te trainen in veilig omgaan met gegevens en systemen, kunnen organisaties hun algehele cyberweerbaarheid versterken en de impact van potentiële aanvallen minimaliseren.

Kortom, het werken aan en implementeren van de NIS2 richtlijn draagt bij aan het verbeteren van de cybersecurity, het beschermen van belangrijke informatie en infrastructuren, en het vergroten van de weerbaarheid tegen steeds veranderende bedreigingen.

Hulp nodig?

Wacht niet af en neem nu passende maatregelen om ervoor te zorgen dat de organisatie niet op het laatste moment wordt overvallen door de consequenties van NIS2. Benieuwd wat wij hierin voor jou kunnen betekenen? Vul dan het contactformulier via de knop hieronder in.