Bereid je voor op NIS2: De nieuwe Europese cybersecurity richtlijn
De groeiende maatschappelijke afhankelijkheid van IT zorgt voor een toename van cyberdreigingen. Deze toename vraagt om strengere regelgeving waarbij ook vanuit de EU strengere eisen worden gesteld. De vernieuwde NIS2 richtlijn ‘dwingt’ je om je cybersecurity te verbeteren. Denk aan het beveiligen van de volledige toeleveringsketen, met kleine en grote schakels, op locatie en op afstand.
Op 17 oktober 2024 treedt de vernieuwde NIS2-richtlijn officieel in. NIS staat voor Network and Information Security, en is een richtlijn gericht op het verhogen van je cybersecurity, zowel binnen de organisatie als in de keten. De kans is groot dat je straks, direct of indirect, onder de vernieuwde NIS2 richtlijn valt. Naar verwachting heeft de NIS2 namelijk direct impact op 16.000 bedrijven en organisaties in Nederland.
Voor wie geldt de NIS2?
De NIS2 maakt onderscheid tussen essentiële en belangrijke organisaties in verschillende sectoren. Onderstaande tabel laat de verschillende soorten organisaties per sector zien, inclusief de criteria die bepalen of je als organisatie onder de NIS2 richtlijn valt. Aanbieders van digitale diensten vallen sowieso onder de NIS2 richtlijn, ongeacht het aantal medewerkers en de hoogte van hun omzet.
Wat kan ik doen om me voor te bereiden?
Door het uitvoeren van Security Assessment door een derde partij krijg je inzicht in je zwakke plekken en aanbevelingen voor het verbeteren van je cybersecurity. HSO kan je hierbij helpen, en scant zowel je on-premises als cloud systemen.
Stel multi-factor authenticatie (MFA) in op alle accounts en monitor voor zogenaamde coverage gaps: Gaten in je beleid waardoor sommige accounts buiten de scope van je MFA policy vallen. MFA beschermt tegen 98% van de cyberaanvallen, maar in bijna alle organisaties zijn er gaten in de MFA policy te ontdekken, waardoor je kwetsbaarder bent dan je zelf denkt.
Zorg ervoor dat je (digitale) risico’s in kaart brengt, deze analyseert en op basis van hun risicoscore op de juiste manier adresseert. Doe dit ook voor cyberrisico’s in de keten, en beoordeel de mate van (digitale) veiligheid van je ketenpartners: Laat hen geen springplank zijn om je eigen organisatie te compromitteren.
Zorg ervoor dat cyberrisico’s 24/7 gemonitord en opgevolgd worden. Dit kan je zelf doen of uitbesteden aan een security partner zoals HSO. Adequate incident respons is noodzakelijk om cyberdreigingen in een vroeg stadium af te vangen, als preventieve maatregelen niet voldoende zijn geweest. Denk hierbij ook aan dekking tijdens de nachtelijke uren, weekenden en feestdagen.
Je medewerkers zijn je grootste vriend als (technische) securitymaatregelen falen. Zorg ervoor dat medewerkers weten hoe ze moeten handelen wanneer ze te maken hebben met een cyberaanval, zoals phishing of ransomware. Focus daarbij niet (alleen) op phishing simulaties. Deze hebben maar zeer beperkt effect en de software kan erg duur zijn. Focus liever op adequate technische maatregelen en leidt je medewerkers continu op via training, educatie en bijvoorbeeld gamification.
Kortom, er is voldoende te doen en voordat je het weet is het alweer 17 oktober 2024. Wees daarom niet bang om hulp te vragen. HSO staat klaar om je te helpen met het verbeteren van je cybersecurity.
We are all cyber defenders!
Informatie
Meer over Security
