NIS2 komt eraan: aandachtspunten bij implementatie
door Gorik Van den Bergh
De nieuwe Europese NIS2-richtlijn is de opvolger van de NIS (Network and Information Security Directive) en gaat in op 17 oktober 2024. In eerdere publicaties vertelden we al wat NIS2 nu juist inhoudt en wat de mogelijke impact is voor jouw organisatie. In dit artikel lijsten we nog eens op waar je aandacht voor moet hebben bij de implementatie van NIS2.
We worden in nieuwsberichten dagelijks geconfronteerd met het belang van cyberveiligheid en dus ook het belang van NIS2. Ook het Centre for Cybersecurity Belgium (CCB) meldde in haar CCB-rapport onder meer:
Dat Belgische organisaties in 2023 vooral het slachtoffer waren van ransomware- en DDoS-aanvallen. Daarnaast werden ze ook getroffen door andere categorieën cyberincidenten, zoals datalekken, CEO-fraude, dreigingsindicaties op het dark web en speciale fora waarop gestolen gegevens worden gepubliceerd, en het compromitteren van Belgische IP-adressen die worden gebruikt bij cyberoperaties.
Phishing is nog steeds een van de belangrijkste aanvalsmethoden waarmee actoren malware installeren op een geviseerd systeem, maar ook een van de meest voorkomende aanvalsvormen om gegevens te stelen, zoals persoonsgegevens en identificatiegegevens, en om cyberfraude te plegen.
De belangrijkste zaken die je moet weten over de NIS2 implementatie
1. Bewustmaking
Het is noodzakelijk dat het management van je bedrijf zich bewust is van en inzicht heeft in de vereisten van de NIS2-richtlijn en de inspanningen voor risicobeheer. Bestuurders hebben een directe verantwoordelijkheid om cyberrisico’s aan te pakken en om aan de vereisten te voldoen. Bij uitbreiding is het natuurlijk van belang dat alle medewerkers zich voldoende bewust zijn van de mogelijke cyberdreigingen.
2. Risicobeheer
De term risk-management wordt wel 144 keer (!) vermeld in de NIS2 publicatie. Het is dus een niet te onderschatten onderdeel van de NIS2-richtlijn. Organisaties dienen immers maatregelen te implementeren om de door hen geïdentificeerde risico’s en gevolgen te minimaliseren.
3. Rapporteren aan autoriteiten
Organisaties moeten processen en procedures in plaats hebben om ervoor te zorgen dat ze op een juiste én tijdige manier incidenten rapporteren aan de autoriteiten.
4. Bedrijfscontinuïteit
Organisaties dienen maatregelen te nemen om de bedrijfscontinuïteit voldoende te verzekeren, denk hierbij onder meer aan back-ups, hersteltesten, noodplannen en crisisbeheer.
5. Leveranciers
Bovendien moeten organisaties ook de beveiligingsrisico’s bij hun leveranciers in kaart brengen. Leveranciers vormen vaak een onderdeel van de bredere keten van vertrouwen van een organisatie. Een onbeveiligde leverancier kan als zwakke schakel in de keten een risico vormen voor de hele organisatie en haar stakeholders.
6. Sancties
Organisaties die niet voldoen aan de voorschriften van NIS2 kunnen worden onderworpen aan verschillende mogelijke sancties, waaronder boetes of administratieve sancties die kunnen oplopen tot een maximum van 10 miljoen euro voor zogenaamde essentiële entiteiten (2% van de wereldwijde omzet) en 7 miljoen euro voor belangrijke entiteiten (1,4% van de wereldwijde omzet).
Hoe kunnen wij je bij Vandelanotte helpen?
Ontdek (IT) risk management software om het risicobeheer van jouw organisatie efficiënter te organiseren;
Vraag penetratietesten aan om de weerbaarheid van jouw organisatie te evalueren en te verbeteren;
Ontdek onze ‘cybersecurity awareness’ oplossingen (Phishing, online training,..).
Onze experten adviseren jou en bieden indien gewenst ondersteuning bij de implementatie van de nodige veiligheidsmaatregelen om NIS-compliant te zijn.
Meer weten over de cybersecurity compliance van jouw organisatie? Neem dan contact op met Gorik.vandenbergh@vdl.be
Om dit formulier te kunnen versturen moet u het gebruik van technische cookies aanvaarden. Dat kan u hier aanpassen.
Deze cookies worden gebruikt om onderscheid te maken tussen mensen en bots. Bepaalde gegevens, zoals uw IP adres of taal, kunnen hierbij doorgestuurd worden naar Google. Meer info vindt u in onze cookieverklaring.
Gorik Van den Bergh
Certified Information Systems Auditor Gorik.VandenBergh@vdl.be
Disclaimer
Bij onze adviezen baseren wij ons op de huidige wetgeving, interpretaties en rechtsleer. Dit verhindert niet dat de administratie deze kan betwisten of dat bestaande interpretaties kunnen wijzigen.
Nieuws en inzichten
Lees onze laatste inzichten en nieuwsberichten om op de hoogte te blijven van veranderingen in jouw sector.
