NIS-2: Essentiële stappen voor een betrouwbare cyberbeveiliging
Landingspagina NIS2 header

Context

Wat is die veelbesproken “NIS” nu eigenlijk? De NIS-regelgeving (of languit Network and Information Security) is een Europese richtlijn inzake de beveiliging van netwerk- en informatiesystemen. Zie het een beetje als de GDPR-regelgeving maar dan voor cyberveiligheid. De NIS-1 Directive is sinds 2016 in voege, met een hervorming in 2022.

De nieuwe NIS-2 regelgeving gaat veel verder en heeft betrekking op meer sectoren en organisaties. Sinds april 2024 is NIS-2 in onze nationale wetgeving opgenomen en wordt er van bedrijven verwacht dat ze actie ondernemen om aan de nieuwe regels te voldoen. De herziening van NIS is een reactie op de grote toename van cybersecurity incidenten wereldwijd (volgens centre for cybersecurity). Ook in België worden jaarlijks steeds meer ondernemingen getroffen.

    Toepassing

    Het toepassingsgebied van NIS-2 breidt zich uit naar organisaties in 18 sectoren, o.a. transport, energie, gezondheidszorg, voeding, onderzoek, chemie, transport, productie en digitale dienstenleveranciers. Er wordt van bedrijven en organisaties uit zowat alle sectoren geëist dat zij een complexere reeks verplichtingen in de praktijk brengen. Bedrijven worden opgesplitst in Essential Entities (EE) en Important Entities (IE) maar concreet worden vooral bedrijven met meer dan 50 werknemers of een jaaromzet van hoger dan €10 miljoen geviseerd.

    Verplichtingen

    NIS-2 houdt in dat organisaties veiligheidsmaatregelen dienen te nemen en incidenten moeten melden (meldplicht). Zo wil men data breaches trachten te voorkomen en de schade beperken mocht dat toch het geval zijn. Data is immers het goud van een bedrijf en bevat gevoelige informatie die beschermd dient te worden. De Essential Entities (EE) kunnen inspecties verwachten en moeten hun policies en maatregelen meteen beschikbaar hebben, terwijl dit bij Important Entities (IE) pas na een security incident beschikbaar gesteld moet worden.

    Risicos en aansprakelijkheid

    Veel bedrijven beseffen nog niet ten volle dat ze onder deze richtlijn vallen en dus moeten voldoen aan NIS-2. Organisaties die niet voldoen of nalatig zijn, riskeren boetes op basis van hun omzet (1,4% tot 2% van de omzet). Bovendien kunnen bedrijfsleiders persoonlijk aansprakelijk gesteld worden als ze zich nalatig zouden hebben gedragen op vlak van cybersecurity. De financiële impact kan naast de kosten van een cyberaanval zelf dus ook een potentiële boete van de overheid bevatten.

    Actie ondernemen

    Organisaties dienen nu actie te ondernemen om tegen de deadline van oktober 2024 aan de NIS2 vereisten te voldoen. Waar de budgetten voor IT-beveiliging omhoog zullen (moeten) gaan om dit te realiseren, zullen de (onverwachte) kosten na cyberincidenten drastisch dalen. Beter voorkomen dan genezen dus, zeker als het draait om je cyberveiligheid. Tijd om op zoek te gaan naar de best-practices voor je databescherming en de nodige maatregelen te treffen. Denk daarbij aan meervoudige authenticatie, incidentafhandeling en een structureel beleid voor risicobeheer.

    Om aan de NIS-2 regelgeving te voldoen, dient je onderneming een cyberveiligheidsplan uit te werken dat (minimaal) volgende elementen bevat:

    • een risico-analyse
    • incident handling procedures
    • het nemen van mitigerende maatregelen
    • business continuïteitsplannen in lijn met de vastgestelde risico’s
    • training en bewustwording van het management (en personeel)
    • beveiliging van de aanvoerketens (supply-chain)
    • meldingsplicht van beveiligingsincidenten

    Hoe kan Incrius helpen

    Als IT-partner willen wij onze klanten ontzorgen, dus ook wanneer de wetgeving wijzigt, bieden we jou graag de nodige ondersteuning. Zo kan jij je op je operationele business focussen, zonder wakker te liggen van mogelijke inspecties, boetes en/of security breaches.

    Met onze Guard+ oplossingen kom je alvast een heel eind om je securityniveau op te krikken en tegelijk te voldoen aan NIS-2. Wij hebben de oplossingen zo georganiseerd dat ze laagdrempelig zijn voor organisaties van elke grootorde. Of je nu een kleine organisatie, middelgrote kmo of grotere speler bent, onze Guard+ oplossingen zijn er op maat van jouw bedrijf, noden en wensen.

    • Guard+ Monitoring: Back-end monitoring, network monitoring
    • Guard+ BaaS: Back-up as a Service
    • Guard+ ITAM: IT Asset Management
    • Guard+ Auditing: Data auditing en respons.
    • Guard+ 360: scanning & detectie van security kwetsbaarheden
    • Guard+ LAN/WLAN: Cloud management Ruckus wireless en wired
    • Guard+ Signature:  Geautomatiseerde e-mail handtekening ms365
    • Guard+ XDR Security: Extended Detection & Response
    • Guard+ End-User CSA: End-User Cyber Security Awarenes
    We-care schema

    Onze Guard+ oplossingen zijn SaaS-solutions in partnermodel (niet leveranciersmodel) die onze klanten ins staat stelt hun beveiliging en bedrijfszekerheid te waarborgen. Ze kunnen geassocieerd worden met de vijf kernfuncties in het NIST Cybersecurity Framework:

    Identify – Ken je alle assets in de network en dus je attack-surface?
    Protect – Implementeren van voorzorgsmaatregelen (safeguards).
    Detection – Het tijdig detecteren van cybersecurity gebeurtenissen.
    Respond – Een plan klaarliggen hebben om de impact te beperken.
    Restore – Weerbaarheid behouden en diensten herstellen na een aanval.

    Guard+ vs NIST Cybersecurity

    Bedrijven die met ons samenwerken kunnen rekenen op de juiste oplossing voor hun organisatie, gebaseerd op de huidige én toekomstige noden. De oplossingen worden door Incrius beheerd. Indien gewenst kan de klant ook toegang krijgen (fully-managed, co-managed of unmanaged) zodat zij er samen met Incrius gebruik van kunnen maken.

    Conclusie

    1. Start vandaag
    2. Gebruik een framework en meet op verschillende momenten waar je staat
    3. Welke afspraken en procedures hebben jullie al als er op vandaag iets mis zou lopen?
    4. Laat Incrius, hun achterliggende tools en partners je ondersteunen en ontzorgen
    5. Train je eind-gebruikers (= menselijke factor)
    6. Informeer het management en voorzie voldoende budgetten
    7. Begin bij het begin, namelijk met de basishygiëne (MFA, XDR,…)

    Wacht niet op oktober 2024 om aan je cyberverdediging te werken. Laat je nu al in vertrouwen begeleiden door een partner als Incrius. Wij beschikken sinds 1978 over ruime expertise in netwerk-en cyberbeveiliging.

    Incrius divider

    Meer weten over NIS-2?

    Net voor de zomer van 2023 organiseerden we een seminarie rond de toen aankomende vernieuwingen van NIS-2. Michael Arens ging uitgebreid in op welke bedrijven aan de nieuwe regeling moeten voldoen, welke acties er opgelegd worden en wat je vandaag al kan doen om je bedrijf NIS-2 compliant te maken om zo nodeloze risico’s, inspecties, boetes of breaches te vermijden. De presentatieslides van deze uiteenzetting kan je verkrijgen door hiernaast je gegevens in te vullen.  

    pijl aanvraag presentatieslides NIS-2
    Schakel JavaScript in je browser in om dit formulier in te vullen.
    GDPR
    Incrius divider

    Ons fantastisch team maakt graag tijd om jouw organisatie optimaal te beveiligen en NIS-2 compliant te maken.

    Schrijf je in op onze nieuwsbrief

    en blijf op de hoogte van

    nieuwe artikels, producten, diensten en events.

    Schakel JavaScript in je browser in om dit formulier in te vullen.
    Naam