Na de invoer van AVG ligt er alweer iets nieuws op de planken om cybercriminaliteit tegen te gaan: NIS 2. Op dit moment werken we in Europa met de NIS 1 richtlijn voor essentiële bedrijven zoals water- en telecombedrijven. NIS 2 hanteert hogere cybersecurity eisen en geldt voor veel meer bedrijven. Geen vreemde ontwikkeling aangezien we midden in een ransomwarepandemie leven, maar wat houdt NIS 2 nou precies in? En hoe kun je je als bedrijf hierop voorbereiden? Wij vroegen het Ad Schaafsma, security consultant bij Axians.
NIS staat voor netwerk- en informatiesystemen en NIS 1 is een wet die sinds 2018 geldt voor essentiële bedrijven. Cybercriminelen bedenken echter razendsnel nieuwe manieren om organisaties aan te vallen, waardoor NIS 1 alweer achterhaald is. NIS 2 verhoogt de cybersecurity-eisen door heel Europa, waardoor meer organisaties als essentieel bedrijf worden gezien.
Het nieuwe NIS 2 beleid zorgt ervoor dat (bijna) alle bedrijven moeten voldoen aan nieuwe cybersecurity richtlijnen. Deze wet- en regelgeving verbetert de weerbaarheid en reactiecapaciteit bij cybercrime incidenten.
Essentiële en belangrijke organisaties
De NIS 2 hanteert onderscheid tussen essentiële en belangrijke organisaties die elk eigen toezichtregimes toegewezen krijgen. “Wanneer je essentieel of belangrijk bent wordt nog bekend gemaakt, maar laten we ervan uitgaan dat ieder bedrijf dat een essentiële dienst aan consumenten levert, onder de nieuwe wet valt. Dus ook kleine dienstverleners. Ben je een klein bedrijf (onder 250 medewerkers) en verleen je geen essentiële of belangrijke dienst? Dan hoef je in principe niet te voldoen aan de NIS 2. Ik zeg ‘in principe’, want verbonden organisaties worden bij elkaar opgeteld.” Daarnaast geldt: als de NIS 2 niet voor jouw bedrijf geldt, betekent dat niet dat je niets aan veiligheid hoeft te doen, vindt Bart Groothuis, rapporteur voor de Europese cyberbeveiligingsrichtlijn NIB. “Het gaat er niet om of jij onderdeel bent van de vitale infrastructuur, het gaat erom of een ransomware hacker jou interessant genoeg vindt voor zijn business model.”
Groot effect voor ketenmanagement
Ook als je samenwerkt met een essentieel bedrijf word je door NIS 2 gedwongen om aan je leveranciers in de keten eisen te stellen en partijen niet op hun blauwe ogen te vertrouwen. Ad vertelt: “Het ketenmanagement zal flink veranderen met de komst van NIS 2. De verwerkersovereenkomsten kwadrateren en je moet veel secuurder denken. Als je geen certificaat kunt overleggen, kun je niet de markt op. Vergelijk het met de foodindustrie: iedere schakel in die keten voegt iets toe aan het product. Dit wordt nauwkeurig gecontroleerd en gedocumenteerd. Mocht het onverhoopt fout gaan, dan kunnen ze precíes achterhalen welke badgenummers naar welke winkels zijn gegaan en heel gericht het product terughalen.”
Angst voor reputatieschade
Stel je voor: Bij een willekeurig gezondheidscentrum draait jouw softwaresysteem met daarop medische dossiers van de patiënten. Als daar een cyberaanval plaatsvindt, moet je dat volgens de regels van de NIS 2 binnen 24 uur melden. Een toezichthouder van de NIS 2 kan vervolgens besluiten om deze aanval openbaar te maken als dat in maatschappelijk belang is. Dat doet zeer, want reputatie is alles. De angst voor reputatieschade dwingt het bedrijfsleven om te voldoen aan de NIS 2. Je kunt geen enkel risico lopen.”
3 tips voor een goede naleving van NIS 2
- Weet wie je leveranciers zijn. Weet wat ze leveren en onder welke condities. Inventariseer welke afspraken je met ze hebt gemaakt over cybersecurity van hun producten en/of diensten. Voldoen ze aan de eisen van NIS 2? Zo niet, ga hier dan met hen over in gesprek en maak het in orde.
- Definieer je beleid en zorg voor een juridisch kader om intern toezicht te houden op gebruikers en beheerders. Zorg dat ze verantwoord te werk gaan (bijvoorbeeld door een 2-factor authentication) en kies een normenkader dat bij je past. Er zijn een heleboel, goed doordachte kaders beschikbaar, dus ga niet zelf het wiel uitvinden. Pak er 1 uit de kast en vul dat in.
- Bewustwording. Tijdens de invoer van AVG zag je al dat organisaties en consumenten bewuster werden van de consequenties van het gebruik van persoonlijke data. Dat zal bij de NIS 2.0 zeker niet minder zijn aangezien het enkel essentiële en belangrijke organisaties en diensten betreft. De druk is groot, zo word je als organisatie al bijna gedwongen om te voldoen aan de wet- en regelgeving.