Ook in de installatiebranche is digitalisering niet meer weg te denken. De daarbij gepaarde cybersecurity risico’s liggen – meer dan ooit – aardig op de loer. Om onze digitale samenleving te beschermen werkt de Europese Unie daarom sinds 2020 aan de Network and Information Security directive (NIS2-richtlijn). Deze richtlijn heeft tot doel de digitale en economische weerbaarheid van alle Europese lidstaten te versterken.
Maar ben jij je als organisatie bewust van wat dit gaat betekenen? We leggen je het graag simpel uit!
Jouw digitale veiligheid, onze prioriteit
Cyberveiligheid staat voorop bij Acto
Als softwarebedrijf kunnen we bij Acto niet om cybersecurity heen. De continuïteit van ons bedrijf en van onze klanten hangt immers af van veilige IT-systemen. Daarom nemen we cybersecurity uiterst serieus en informeren we iedereen die met onze software werkt over de nieuwste ontwikkelingen.
Een belangrijke ontwikkeling is de NIS2 wetgeving. In deze blog lees je wat NIS2 inhoudt en hoe je met vijf basistips je digitale weerbaarheid vergroot. Waar kun je vandaag nog meer beginnen? Zorg ervoor dat je software up-to-date is en schakel tweestapsverificatie in. Zo ben je direct beter beveiligd!
________________________________________
William Zegers
Directeur Acto
Wat is de NIS2-richtlijn?
NIS2 is de opvolger van de NIS-richtlijn. Het doel is om met deze richtlijn bescherming te bieden aan organisaties die een cruciale rol spelen in de internetinfrastructuur. De maatregelen zijn opgesteld vanwege de toenemende dreiging van geavanceerde cyberaanvallen. Door de wettelijke verplichting wil de EU op die manier de digitale veiligheid van de EU-lidstaten waarborgen.
Voor wie geldt de NIS2?
NIS2 en de Cyberbeveiligingswet maken onderscheid tussen belangrijke en essentiële organisaties om specifieke regelgeving toe te passen. Dit is geen willekeurige keuze. Het heeft alles te maken met het feit dat cyberaanvallen op deze organisaties enorme gevolgen kunnen hebben. Niet alleen voor die organisaties zelf, maar ook voor de cruciale diensten en infrastructuur die onze samenleving draaiende houden. Er is zorgvuldig gekeken naar de rol die deze organisaties spelen in ons dagelijks leven.
Hoe cyberweerbaar is jouw organisatie?
Bescherm je bedrijf tegen cyberaanvallen!
Download de whitepaper en ontdek 6 direct toepasbare tips om je cyberweerbaarheid te versterken.
Waar moet je beginnen
Allereerst kan je een NIS2 zelfevaluatie doen om te checken of jouw organisatie onder de NIS2 richtlijn valt.
Naast dat je de zelfevaluatie voor de NIS2 doet, is het überhaupt belangrijk dat je als ondernemer de 5 basisprincipes van veilig digitaal ondernemen opvolgt. Op deze manier vergroot je “simpel” je weerbaarheid tegen cyberrisico’s die de dagelijkse bedrijfsvoering kunnen verstoren.
5 basis principes van veilig digitaal ondernemen
Afhankelijkheden en belangen in kaart brengen zodat je weet welke dreigingen voor de organisatie relevant zijn. Wat de risico’s zijn en hoe deze te adresseren.
Veel van de cyberincidenten beginnen en eindigen met de mens. Veilig gedrag kan worden bevorderd door in te zetten op een veilige cultuur, leren van fouten, degelijke processen en bewustwording rondom veiligheidsrisico’s.
Systemen, applicaties en apparaten houden je organisatie draaiende. Het is van belang deze te beschermen door te kiezen voor veilige instellingen en dreigingen tijdig te detecteren.
Definieer per medewerker tot welke systemen en data toegang vereist is om te kunnen werken.
Niet alles kan voorkomen worden, ga er dus vanuit dat er een incident plaats gaat vinden. Weet hierdoor hoe je op incidenten moet reageren. Zodat je weet hoe je de schade weer kunt herstellen.
Wat zijn jouw verplichtingen als jouw bedrijf onder de NIS2-richtlijn komt te vallen?
Als jouw organisatie onder de NIS2-richtlijn valt en dus onder de Cyberbeveiligingswet, zijn er kortgezegd vier verplichtingen waar je rekening mee moet houden:
- Zorgplicht: Je moet een risicoanalyse uitvoeren en maatregelen nemen om je diensten zo goed mogelijk te laten doorgaan en de gebruikte informatie te beschermen;
- Meldplicht: Je bent verplicht om incidenten te melden;
- Registratieplicht: Organisaties die vallen onder de Cyberbeveiligingswet zijn wettelijk verplicht zich te registreren in het entiteitenregister. Er wordt door het Nationaal Cyber Security Centrum (NCSC) gewerkt aan een online registratievoorziening waarin organisaties zichzelf registreren en aanmelden als NIS2 entiteit. Doordat alle lidstaten over een register moeten beschikken, levert dit ook een Europees beeld van het aantal entiteiten onder de NIS2 op;
- Toezicht: Organisaties die onder de Cyberbeveiligingswet vallen zijn onderworpen aan toezicht. Hierbij wordt gekeken naar de naleving van de verplichtingen uit de Cyberbeveiligingswet, zoals de zorg- en meldplicht. Toezicht maatregelen richten zich tot de entiteit maar kunnen in een uiterst geval ook de individuele bestuurders raken.
Wat kan je doen om je alvast voor te bereiden?
NIS2-bedrijven moeten maatregelen (10 zorgplicht maatregelen) nemen om hun netwerk- en informatiesystemen tegen incidenten te beschermen. Hetzelfde geldt voor de fysieke omgeving waarin de systemen zich bevinden.
- Maatregel 1: Een risicoanalyse en beveiliging van informatiesystemen;
- Maatregel 2: Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van assets;
- Maatregel 3: Maatregelen op het gebied van bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen;
- Maatregel 4: Incidentenbehandeling;
- Maatregel 5: Basis cyberhygiëne en trainingen op het gebied van cyberbeveiliging;
- Maatregel 6: Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden;
- Maatregel 7: Beveiliging van de toeleveranciersketen;
- Maatregel 8: Beleid en procedures over het gebruik van cryptografie en encryptie;
- Maatregel 9: Het gebruik van multifactor-authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen;
- Maatregel 10: Beleid en procedures om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen.
Meer weten?
We begrijpen dat alle informatie over de NIS2 wetgeving en cyberweerbaarheid in het algemeen veel kan zijn, en dat je daardoor niet weet waar te beginnen. Daarom organiseren we op donderdag 3 april het “Cyberweerbaarheid evenement”.