NIS2 ready met Microsoft
De invoering van NIS2 komt steeds dichterbij. Deze nieuwe cybersecurityrichtlijn voor bedrijven en organisaties moeten zorgen voor een beter algemeen beleid binnen de EU, door een benchmark van 'minimummaatregelen' te hanteren. Onder andere een zorgplicht, meldplicht, verhoogde aansprakelijkheid en kosten zijn consequenties van de nieuwe NIS.
Wellicht dat jij als IT-dienstverlener met jouw organisatie al voldoet aan de huidige NIS-normen, maar met de komst van NIS2 geldt deze richtlijn voor een stuk meer sectoren dan voorheen. Vervoer, banken, financiële marktinfrastructuren, gezondheidszorg, digitale infrastructuur, openbaar bestuur, ruimtevaart, post- en koeriersdiensten, afvalbeheer, chemie, voedingsproductie, industrie en digitale aanbieders krijgen er nu ook mee te maken. Daarmee bestaat de kans dat de organisatie van jouw klant zich binnenkort aan deze wettelijke securityrichtlijn moet houden…
NIS2 stond gepland om op 17 oktober 2024 te worden omgezet in nationale wetgeving, maar de Tweede Kamer heeft nu al aangegeven deze deadline niet te gaan halen. "Het blijft echter van belang dat bedrijven en organisaties niet afwachten totdat de nieuwe wet- en regelgeving volledig duidelijk is, maar nu al maatregelen nemen ter bescherming van de continuïteit van hun bedrijfsprocessen," - aldus D. Yesilgöz-Zegerius, Minister van Justitie en Veiligheid.
In dit blog leggen we uit wat NIS2 inhoudt en wat er verandert, zodat jij én jouw klanten passende voorbereidingen kunnen treffen.
Check of een organisatie onder de NIS2-richtlijn valt:
Met de vragenlijst van de Rijksinspectie Digitale Infrastructuur (RDI) kunnen organisaties zelf zien of ze onder de NIS2-richtlijn vallen. Hiermee wordt ook duidelijk of de organisatie volgens de NIS2-richtlijn wordt gezien als ‘essentieel’ of ‘belangrijk’ voor het functioneren van de maatschappij en/of economie. Je kunt de vragenlijst hier vinden en invullen.
Hoe bereid je jouw organisatie – en die van jouw klanten - voor op NIS2?
Volgens de NIS2-richtlijn zijn er verschillende stappen die organisaties moeten ondernemen om hun cybersecurity te verbeteren:
1. Zorgplicht
Bedrijven en organisaties moeten zelf hun risico's beoordelen en passende maatregelen nemen om hun diensten en informatie te beschermen. Het is belangrijk om eerst het bestaande beveiligingsbeleid en de huidige maatregelen te evalueren. Organisaties moeten mogelijke risico's identificeren en nadenken over zaken als de locatie van hun informatie, wie verantwoordelijk is voor de beveiliging, en wie geïnformeerd moet worden bij een incident.
Een meerlaags securitybeleid is essentieel. Dit kan met securitysoftware, detectie en respons op endpoints, netwerken en monitoring, e-mailbeveiligingsgateways, firewalls, backups, biometrische beveiliging en MFA. De invulling van een sterk securitybeleid hangt af van de organisatie en de IT-infrastructuur. Regelmatige tests en evaluaties zijn nodig om de effectiviteit van de maatregelen te waarborgen en inzicht te krijgen in eventuele ontbrekende aspecten.
2. Verplicht Incident Response Plan
NIS2 vereist dat organisaties een Incident Response Plan hebben. Dit plan bereidt de organisatie voor op crisissituaties en beschrijft de te ondernemen stappen. Het helpt kosten te besparen, herstelwerkzaamheden te minimaliseren en rust te creëren in tijden van chaos.
Het testen, evalueren en aanpassen van het beveiligingsplan is cruciaal om de effectiviteit ervan te waarborgen. Organisaties dienen basismaatregelen te nemen zoals het opstellen van beveiligingsbeleid en -procedures, het uitvoeren van risicoanalyses, het monitoren van netwerken en systemen, en het implementeren van passende beveiligingsmaatregelen. Als een organisatie moeite heeft met het simuleren van een noodsituatie, zijn er externe bedrijven die kunnen helpen bij het uitvoeren van een audit.
3. Meldplicht
Als er een ernstig incident plaatsvindt, moet dit binnen 24 uur gemeld worden. Dit is belangrijk om snel hulp te krijgen en de impact te beperken. Een cyberincident moet ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden.
Factoren die een incident meldingswaardig maken, zijn bijvoorbeeld het aantal personen dat door het incident geraakt is, de tijdsduur van een verstoring en de mogelijke (financiële) verliezen.
4. Bereid je team voor
Het trainen van werknemers in cyberbeveiligingsbewustzijn belangrijk, omdat zij toegang hebben tot gevoelige bedrijfsinformatie en dagelijks gebruikmaken van het bedrijfsnetwerk.
5. Toezicht
Er zal onafhankelijk toezicht zijn op de naleving van bovengenoemde richtlijn. Hoe dit precies wordt ingevuld, is nog in ontwikkeling.
Door NIS2 worden organisaties gestimuleerd om proactief te zijn in hun beveiligingsplanning, om zo paniek te voorkomen, snel te kunnen handelen en de schade te beperken. NIS2 is dus een stap voorwaarts in het verbeteren van de digitale veiligheid in Europa. Feit is dat jouw klanten, ook al zijn ze nu nog niet verplicht om aan de NIS2-richtlijn te voldoen, baat hebben bij het naleven ervan. Bestaande wetten en regelgeving voor informatie- en databeveiliging, waaronder de Baseline Informatiebeveiliging Overheid (BIO), vormen de basis van de zorg- en meldplicht die uit NIS2 volgt. Het volgen van deze huidige regels is dus een belangrijk startpunt.
Microsoft helpt jou en jouw klanten met de voorbereidingen
Het voldoen aan de NIS2-richtlijn hoeft niet complex te zijn. Microsoft kan jou en jouw klanten namelijk helpen met de voorbereidingen! En wel met de Zero Trust-principes van de Microsoft Security-oplossingen. Lees verder in onze factsheet hoe je de beveiligingsstrategie van jouw klanten afstemt op Microsoft’s Zero Trust-model om de naleving van NIS2 te garanderen. We delen 10 taken die voortkomen uit de richtlijn van NIS2 en tonen per taak welke Microsoft Security-oplossing je dient te implementeren.
Meer horen en zien? Volg het webinar ‘Get NIS2 Ready with Microsoft’
In een technisch webinar op 19 maart, van 09.30u tot 11u vertellen we meer over NIS2 en de taken van organisaties om aan de richtlijn te voldoen. Tijdens het webinar leer je hoe organisaties, met behulp van Microsoft 365 en/of Microsoft Azure, direct stappen kunnen ondernemen.
Tony Krijnen, Cloud Solution Architect bij Microsoft, brengt de IT-onderdelen die bijdragen aan de naleving van NIS2 helder in beeld en presenteert deze binnen het kader van het Microsoft Zero Trust-model.
Door: DSD Europe