De Europese Unie heeft in 2022 de NIS-2 directive uitgevaardigd, een voortzetting van haar inzet om cyberbeveiliging in de lidstaten te versterken. Met slechts een jaar te gaan tot de deadline van oktober 2024, bevinden lidstaten zich in de implementatiefase om de richtlijnen in hun nationale wetgeving te integreren. Hoewel de specifieke wetten nog vorm moeten krijgen, biedt de NIS-2 directive al een gedetailleerd raamwerk voor organisaties om hun beveiligingsinspanningen te intensiveren.
Wat is de scope van NIS-2?
Uit de titel is het duidelijk: ‘Network and Information Security’. Dit betekent dat alle apparaten verbonden aan het bedrijfsnetwerk – servers, laptops, thin clients, mobiele apparaten, PLC’s, enz. – en alle informatie, zowel in rust als tijdens overdracht, moeten worden beveiligd.
Voor wie is NIS-2 bedoeld?
De NIS-2 directive heeft als doel de cyberbeveiliging binnen de Europese Unie te versterken, en het bereik ervan is veel uitgebreider dan dat van zijn voorganger, NIS1. Waar NIS1 van toepassing was op een beperkt aantal van ongeveer 100 organisaties in België, is de reikwijdte van NIS2 vergroot om ongeveer 2500 organisaties te omvatten. Dit benadrukt de groeiende erkenning van de vitale rol die cyberbeveiliging speelt in onze steeds meer verbonden wereld en de behoefte om een bredere reeks entiteiten onder deze regelgeving te brengen.
Om meer specifiek te zijn, heeft NIS-2 volgende sectoren gedefinieerd die zijn onderverdeeld in twee categorieën: ‘Kritiek’ en ‘Andere Belangrijke’.
Onder de ‘Kritieke sectoren’ vallen:
• Energie
• Transport
• Bankwezen
• Financiële Markt Infrastructuur
• Gezondheidszorg
• Drinkwater
• Afvalwater
• Digitale Infrastructuur
• Openbaar Bestuur
• Ruimte
De ‘andere belangrijke sectoren’ zijn:
• Post- en koeriersdiensten
• Afvalbeheer
• Productie en distributie van chemicaliën
• Voedselproductie, verwerking en distributie
• Fabricage
• Digitale dienstverleners
Waar past uw organisatie in het NIS-2 kader?
De NIS-2 wetgeving richt zich niet op alle organisaties binnen de gespecifieerde sectoren, maar focust voornamelijk op middelgrote en grote ondernemingen. Organisaties worden specifiek gecategoriseerd als: klein (met minder dan 50 werknemers of een omzet van minder dan 10 miljoen euro per jaar), groot (met minimaal 250 werknemers of een omzet van 50 miljoen euro) en middelgroot (alles daartussenin). Op basis van aspecten zoals sector en omvang kan men beoordelen of een organisatie als “Essential” of “Important” wordt gezien. Het Center for Cyber Security Belgium (CCB) voorziet in een uitgebreide toolkit, waaronder een speciale ‘wizard’, waarmee bedrijven kunnen bepalen welke status en bijbehorende beveiligingsmaatregelen voor hen gelden.
Het CCB heeft vier kernpublicaties beschikbaar: Basic, Small, Important en Essential. Afhankelijk van de kenmerken van uw organisatie kunt u de relevante publicatie raadplegen om te begrijpen wat er van u verwacht wordt. Grote organisaties in cruciale sectoren zullen waarschijnlijk het “Essential Entities” document van het CCB moeten bekijken. Organisaties die binnen de genoemde sectoren vallen en meer dan 50 werknemers hebben, zullen meestal de aanbevelingen van het “Important Entities” document volgen. Kleinere organisaties vallen in de Basic en Small groepen. Alleen de “Important & Essential” groepen hebben wettelijke verplichtingen, terwijl de richtlijnen voor Small & Basic als best practices worden gezien. Het gebruik van de CCB-wizard wordt aanbevolen voor een duidelijke classificatie.
Tot slot, voor degenen die al vertrouwd zijn met cyberbeveiligingsstandaarden: de aanbevelingen van het CCB zijn in lijn met bekende standaarden zoals ISO27001, ISO27002 en de NIST-frameworks.
NIS2-richtlijnen en de Procedure bij een Breach
De door het CCB opgestelde richtlijnen zijn ontworpen om te waarborgen dat organisaties hun IT-omgevingen optimaal beveiligen. Maar wat als er ondanks alle voorzorgsmaatregelen toch een inbreuk plaatsvindt?
Volgens de richtlijnen zijn er drie cruciale stappen die gevolgd moeten worden:
- Melden binnen 24 uur: Het is cruciaal dat zowel de autoriteiten als alle betrokken partijen binnen een dag na de ontdekking van de inbreuk worden geïnformeerd. Dit is niet alleen een teken van verantwoordelijkheid, maar stelt autoriteiten ook in staat om relevante gegevens te verzamelen voor een EU-brede cybersecurity database. Hierdoor krijgen zij een goed beeld van de omvang en aard van beveiligingsincidenten en kunnen zij, indien nodig, grensoverschrijdend ingrijpen.
- Gedetailleerd rapport binnen 72 uur: Na de initiële melding wordt van organisaties verwacht dat ze binnen drie dagen een uitgebreider rapport aanleveren. Dit verslag moet inzicht geven in de gebeurtenissen rond de inbreuk en de directe gevolgen ervan.
- Volledige analyse binnen een maand: Binnen een maand na de inbreuk moeten organisaties een uitvoerig rapport indienen. Hierin moet een grondige oorzaakanalyse (root cause analyse) staan, evenals de voorgestelde en daadwerkelijk uitgevoerde oplossingen om herhaling te voorkomen.
De Hoge Kosten van het Niet Volgen van NIS-2
Nalatigheid in het beveiligen van netwerken en informatiesystemen kan zware gevolgen hebben. Het Cyber Emergency Response Team (CERT.be) is een afdeling van het Centrum voor Cybersecurity België (CCB), verantwoordelijk voor het monitoren van incidenten gerelateerd aan de veiligheid van netwerken en informatiesystemen. Ondanks dat entiteiten op vrijwillige basis incidenten kunnen melden die een significante impact hebben op de continuïteit van de diensten die zij leveren, kan nalatigheid leiden tot verplichtingen en boetes. Afhankelijk van de ernst en omvang van de overtreding kan een boete oplopen tot wel €10 miljoen of 2% van de totale wereldwijde jaaromzet van de onderneming.
Hoe meld je een NIS-incident?
- Gebruik in eerste instantie het meldplatform voor NIS-incidenten: https://nis-incident.be.
- Als dit platform niet beschikbaar is, kan het NIS-incidentformulier gedownload en ingevuld worden. Dit formulier kan vervolgens via e-mail naar cert@cert.be gestuurd worden. Bij voorkeur wordt aanbevolen om PGP-encryptie te gebruiken bij het versturen.
- Na ontvangst van de melding stuurt CERT.be deze zo snel mogelijk door naar het Nationaal Crisiscentrum en de bevoegde sectorale autoriteit.
- Bij dringende hulp omtrent een incident wordt geadviseerd om direct contact op te nemen met Cert.be via (+32 (0)2 501 05 60).
Let op: De website van CERT spreekt nog over NIS1, en is mogelijk niet up-to-date voor NIS2.
Impact van NIS-2 op de Toeleveringsketen
De impact van NIS-2 op de toeleveringsketen is aanzienlijk en belicht verschillende facetten van cybersecurity. In de kern moeten organisaties een verhoogd bewustzijn hebben van de risico’s die samenhangen met hun leveranciersrelaties. Dit komt doordat cyberaanvallen vaak hun oorsprong vinden in kwetsbaarheden van producten en diensten van derden. Hierdoor is het essentieel voor organisaties om een grondige beoordeling te maken van de kwaliteit, veerkracht en cybersecurity-maatregelen van de diensten en producten die ze gebruiken.
Daarnaast spelen Managed Security Service Providers, ofwel MSSP’s, een cruciale rol bij het ondersteunen van organisaties op het gebied van cybersecurity. Echter, hun nauwe betrokkenheid bij de operaties van een organisatie kan ook een risicofactor zijn. Daarom is een zorgvuldige keuze van een MSSP van groot belang.
Het gaat niet alleen om externe leveranciers. Organisaties moeten ook oog hebben voor de risico’s die voortvloeien uit interacties met andere belanghebbenden, zoals academische en onderzoeksinstituten. Dit is vooral belangrijk als het gaat om zaken als industriële spionage en de bescherming van bedrijfsgeheimen.
Op het gebied van cyberhygiëne is het noodzakelijk dat organisaties zich houden aan fundamentele principes zoals het zero-trust model en regelmatige software-updates. Ook is het belangrijk om personeel voortdurend te trainen over actuele cyberdreigingen.
Wat betreft de beoordeling van de toeleveringsketens, is het cruciaal dat organisaties meewerken aan gezamenlijke risicobeoordelingen van vitale toeleveringsketens. Deze evaluaties richten zich op het identificeren van essentiële ICT-diensten en de daarmee samenhangende bedreigingen. Bij het uitvoeren van deze beoordelingen zijn er diverse criteria die in overweging moeten worden genomen, waaronder de afhankelijkheid van bepaalde ICT-diensten en de beschikbaarheid van alternatieven.
Verantwoordelijkheid voor de Implementatie van NIS-2
Wie staat aan het roer bij de implementatie van NIS-2? De verantwoordelijkheid ligt stevig in handen van het senior management. Het is dan ook raadzaam om de CEO en andere topfunctionarissen te informeren over het belang van bijscholing op dit gebied. De NIS-2-richtlijn benadrukt namelijk het cruciale belang van inzicht en begrip bij het senior management over de diverse maatregelen die onder NIS2 vallen. Het doel? Ervoor zorgen dat cybersecurity niet alleen als een technisch vraagstuk wordt gezien, maar ook als een essentieel onderwerp dat besproken en behandeld wordt op het hoogste niveau – in de boardroom.
Conclusie
In een wereld waar cyberaanvallen en inbreuken op de beveiliging steeds vaker voorkomen, zorgt de NIS-2 directive ervoor dat organisaties voorbereid zijn en adequaat reageren om hun netwerken en informatie veilig te houden. Het is niet alleen een kwestie van wettelijke naleving, maar ook van bescherming tegen potentiële schade aan merk, reputatie en bedrijfsvoering. We moedigen alle organisaties aan om proactief te zijn, hun status in het kader van NIS-2 te beoordelen en de nodige stappen te ondernemen om volledig te voldoen.
Blijf op de hoogte en zorg ervoor dat uw organisatie veilig is in dit digitale tijdperk. In ons volgende artikel zullen we dieper ingaan op de implicaties van NIS-2 op de moderne werkplek. Mis het niet!
Actie: Raadpleeg het Center for Cyber Security Belgium voor meer informatie en bekijk hun tools en bronnen om te bepalen waar uw organisatie staat in relatie tot de NIS-2 directive. Of contacteer Nimble, zodat we dit samen met u kunnen doen.
