Eind 2024 moeten alle EU-lidstaten de nieuwe cybersecurityrichtlijn NIS2 hebben geïmplementeerd. Is uw organisatie een belangrijke of essentiële entiteit en staat u aan het begin van de compliance journey? Dan dringt de tijd. De kans is namelijk groot dat u één of meerdere maatregelen moet treffen die veel tijd kosten. Denk hierbij aan een Security Operations Center implementeren, een veilige toeleveringsketen garanderen en een aangepast beleid opstellen.
Lange tijdspanne, veel inspanningen
Uiterlijk op 17 oktober 2024 moet België de Network and Information Security Directive 2, beter bekend als NIS2, hebben omgezet in nationale wetgeving. Intussen is de Belgische versie intussen al goedgekeurd door het parlement. De richtlijn heeft, zoals we eerder hebben uitgelegd, behoorlijk wat impact op organisaties. Door de veelheid aan dimensies – technisch, organisatorisch, juridisch, menselijk en strategisch – is compliant worden complex. Sommige vinkjes zijn relatief makkelijk en snel te zetten, zoals security awareness-trainingen. Andere maatregelen vergen juist een lange implementatieperiode én behoorlijk wat inspanningen.
Langlopende maatregelen
Onder meer de volgende maatregelen kosten over het algemeen veel tijd om te implementeren.
Technische cybersecuritymaatregelen
Op technisch vlak kunt u bijvoorbeeld denken aan de implementatie van:
- geavanceerde monitoring, detectie en response bij bedreigingen en incidenten;
- uitgebreide netwerksegmentatie;
- het beperken van toegang tot netwerken en informatiesystemen via Identity & Access Management;
- een Zero Trust-architectuur, encryptie van systemen, onoverschrijfbare back-ups.
Waarborgen van een veilige toeleveringsketen
Als uw organisatie volgens NIS2 een belangrijke of essentiële entiteit is, draagt u ook de verantwoordelijkheid om cybersecurityrisico’s in uw toeleveringsketen actief te beheersen en te verminderen. Digitale veiligheid in de supply chain waarborgen is complex. Het vereist immers dat derde partijen óók aan strenge beveiligingsnormen moeten voldoen. En dat vraagt veel tijd, werk en financiële middelen. Bij u en uw ketenpartners zijn ook meerdere afdelingen betrokken bij de compliance-inspanning (zoals IT, Legal en HR), wat een belangrijke, tijdrovende factor is.
Als organisatie die onder het toepassingsgebied van NIS2 valt, moet u onder meer het volgende toetsen bij uw leveranciers en partners:
- beveiligingspraktijken en -procedures die uw eigen digitale veiligheid kunnen beïnvloeden;
- ongepatchte of verouderde software;
- authenticatie- en autorisatieprocessen;
- opslag of communicatie van data;
- security awareness onder medewerkers;
- de kwaliteit van het incident response plan.
De meest voor de hand liggende middelen om de veiligheid van derde partijen te waarborgen zijn contractuele afspraken en audits. In contracten kunt u bijvoorbeeld vastleggen dat uw leveranciers of partners verplichtingen hebben. Zoals voldoen aan de technische en organisatorische NIS2-vereisten, adequate meldingen van incidenten, regelmatig bewijs leveren van NIS2-compliance (bijvoorbeeld via een verslag van een security audit) en vastgestelde gebreken zo snel mogelijk aanpakken. Zeker, security in de keten waarborgen is een dure aangelegenheid. Maar beschouw het als een goede investering: cyberdreigingen binnen de supply chain vormen een reëel gevaar.
Zelfs een groot bedrijf zoals Microsoft is hier al het slachtoffer van geworden. Cybercriminelen slaagden erin om malware in netwerkmonitoringsoftware te verbergen die niet alleen door Microsoft, maar ook door de Amerikaanse overheid gebruikt werd. Zo kregen de criminelen bijna twee jaar lang onopgemerkt toegang tot al hun systemen.
Een framework dat staat als een huis
Een goed framework is cruciaal voor effectieve beveiliging. Als u er NIS2 op naleest, dan blijkt expliciet of impliciet dat u op veel domeinen beleid, procedures en processen moet hebben. Die kunt u vastleggen in onder andere de volgende plannen:
- In een incident response plan neemt u op hoe u incidenten detecteert, rapporteert en aanpakt, inclusief communicatie over en herstel van het incident.
- Een bedrijfscontinuïteitsplan omvat de strategieën en procedures die u nodig heeft om de businessprocessen die essentieel zijn voor het voortbestaan van uw organisatie operationeel te houden
wanneer een cyberincident u treft. - Met een risicobeheerplan en crisisbeheerplan versterkt u de veerkracht van uw organisatie door een proactieve risicomitigatie en een effectieve reactie op onvoorziene noodgevallen.
- Om cybersecurity-incidenten tijdig en effectief te kunnen melden bij het Centrum voor Cybersecurity België (CCB) en getroffen partijen te kunnen inlichten, is een incidentmeldingsplan een goed
instrument. - Via een supply chain-veiligheidsplan beschrijft u hoe uw organisatie de cybersecurityrisico’s in de toeleveringsketen beoordeelt en beheerst, inclusief contractuele eisen en audits.
- Als u bent getroffen door een cyberincident, staan in een disaster recovery-plan de procedures voor het herstellen van systemen, data en netwerkfuncties om zo snel mogelijk weer operationeel te zijn.
Al die beleidsregels, procedures en processen ontwikkelen en vastleggen vereist een nauwgezette aanpak en de inzet van verschillende afdelingen (waaronder IT, Legal, HR en Communicatie). Dat kost tijd – u wilt immers niet over één nacht ijs gaan.
Integratie voor acceleratie
Door uw compliance-inspanningen rond NIS2 te integreren met die voor andere Europese wetten, kunt u sneller en met een lagere tijdsinvestering compliant worden. Ziet u overlap van NIS2 met bijvoorbeeld de GDPR (General Data Protection Regulation), DORA (Digital Operational Resilience Act), CER (Critical Entities Resilience Directive), CRA (Cyber Resilience Act) of de AI Act? Dan kunt u de bestaande procedures en processen met minimale inspanningen finetunen voor NIS2. Naast efficiëntievoordelen biedt dit ook een holistische compliance-aanpak. Op die manier loopt u minder risico’s.
Conclusie: (enige) haast is geboden
Veel organisaties moeten nog de nodige stappen zetten om tot NIS2-compliance te komen. De implementatie van de maatregelen die we hebben beschreven duurt doorgaans eerder maanden dan weken. Samenwerking is vereist: tussen afdelingen, maar ook met organisaties in uw supply chain en met IT-leveranciers. En dat zet extra druk op de ketel. Ons advies luidt dan ook: wacht niet tot de Belgische wetgeving wordt bekendgemaakt en u weet of er al dan niet een overgangsregeling komt. Begin hier vandaag al over na te denken, zodat u morgen de eerste stap kunt zetten. Bovendien zal u dat een competitief voordeel opleveren. Immers, ook jouw (potentiële) klanten gaan de toeleveringsketen steeds meer controleren.
De eerste twee fases
Het pad naar compliance omvat grosso modo de volgende fases:
- Begrip en bewustwording.
- Evaluatie van de huidige status op het vlak van cybersecurity en de zwakke plekken.
- Roadmap en planning.
- Implementatie van technische en organisatorische maatregelen.
- Trainingsprogramma’s voor medewerkers.
- Documentatie van alle analyses, maatregelen en processen.
- Continue monitoring en verbetering.
Voor een kickstart verzamelt u dus best eerst uitgebreide informatie over de implicaties van NIS2 voor uw organisatie. Vervolgens onderzoekt u wat de huidige staat is van uw cybersecuritypraktijken en -beleid en voert u een risicoanalyse uit om kwetsbare aspecten te identificeren.
De cybersecurityspecialisten van Cheops kunnen een uitgebreide audit uitvoeren en – mede op basis van de onderzoeksresultaten – achterhalen wat u moet doen om NIS2-compliant te worden.
Tijd om uw cybersecurity aanpak te verbeteren?
Cheops zorgt ervoor dat uw IT-beveiliging perfect in orde is, zodat u zich nergens zorgen over hoeft te maken.