Europa ??
Ah, Europa! Het continent dat in sommige opzichten altijd een beetje achterloopt als het om cyberbeveiliging gaat, maar tegelijkertijd vooroploopt in het creëren van wetgeving die de digitale toekomst moet vormgeven. De NIS2-richtlijn (Network and Information Systems) is zo’n fascinerend stukje regelgeving dat enerzijds wenkbrauwen doet fronsen en anderzijds duidelijk maakt dat Europa serieus is over het aanpakken van cyberdreigingen.
Wat is NIS2?
Om het simpel te houden: het is een revisie van de NIS-richtlijn uit 2016. Deze nieuwe versie breidt de scope van de oorspronkelijke wetgeving uit en voegt een reeks nieuwe verplichtingen toe voor bedrijven en organisaties binnen de EU. Maar wacht even, ‘verplichtingen’? Zijn we in de beveiligingswereld niet allergisch voor dat woord?
OneConference en NIS2
Op de ONEConference staan ze uitgebreid stil bij deze ontwikkeling.
“De NIS2 verplicht lidstaten de taken en verantwoordelijkheden van organisaties en bedrijven rondom cybersecurity steviger in de wet te verankeren en de naleving hiervan te controleren”, aldus Lorena Boix-Alonso. Zij was direct betrokken bij de samenstelling van de NIS2.
Met de NIS2 wil de EU een stevig Europees cybersecurity beleidskader bouwen. Europese lidstaten, bedrijven en organisaties zijn hierdoor verplicht het niveau van hun cybersecurity te verhogen. Voor vrijblijvendheid is geen ruimte meer in het Cyberdomein, daarvoor zijn de mogelijke gevolgen van een cyberaanval te ernstig.
Verplichtingen of Kansen?
Ja, het woord ‘verplichtingen’ heeft een zure smaak, vooral voor organisaties die vrij willen zijn om hun eigen beveiligingsmaatregelen te nemen. Maar laten we hier even rationeel over zijn. Het digitale landschap verandert sneller dan een CISO ‘zero-day kwetsbaarheid’ kan uitspreken. Bedrijven kunnen niet meer gewoon op hun lauweren rusten. De NIS2-richtlijn biedt een raamwerk, een set van standaarden die als een stok achter de deur dient voor het hele digitale ecosysteem.
Meer dan Compliance
Hier is de crux: Het gaat niet alleen om het voldoen aan de regels om boetes te vermijden.
NIS2 dwingt ons om verder te kijken dan onze eigen bedrijfsvoering. Het gaat over het begrijpen van het ecosysteem waarin we opereren; van toeleveringsketens tot kritieke infrastructuur. En eerlijk gezegd, in een tijdperk waarin ransomware-aanvallen gemeengoed zijn en waarin geopolitieke conflicten zich steeds vaker in de cybersfeer afspelen, kan dit heel goed zijn wat we nodig hebben.
Uitbreiding Toepassingsgebied NIS en NIS2
De NIS2-richtlijn heeft een breder toepassingsgebied dan zijn voorganger en is van toepassing op een uitgebreide lijst van sectoren en diensten, inclusief digitale dienstverleners, essentiële diensten, en overheidsservices.
2. Verhoogde Beveiligingseisen
Ondernemingen moeten voldoen aan strengere beveiligingseisen en dienen adequate en proportionele technische en organisatorische maatregelen te implementeren om de beveiliging van netwerken en informatiesystemen te waarborgen.
3. NIS2 Meldingsplicht Incidenten
Bedrijven zijn verplicht om ernstige incidenten te melden bij de bevoegde nationale autoriteit. Dit moet zo snel mogelijk en uiterlijk 72 uur na het ontdekken van het incident gebeuren.
4. Risicobeheer
De richtlijn legt de nadruk op risicobeheer en vereist van organisaties dat zij een gedegen risicobeheerproces opzetten en onderhouden, inclusief regelmatige beoordeling van beveiligingsrisico’s.
5. Boetes en Sancties
Bij niet-naleving van de NIS2-richtlijn kunnen zware boetes en sancties worden opgelegd, afhankelijk van de ernst van de overtreding en de impact van het incident. Hierbij zijn o.a. bestuurders hoofdelijk aansprakelijk.
Ondernemers moeten ook de beveiliging van hun leveranciers in overweging nemen. Bedrijven zijn niet alleen verantwoordelijk voor hun eigen systemen, maar ook voor het beheersen van de risico’s in hun toeleveringsketen.
Kijk voorbij de Buzzwords
Laat je niet misleiden door buzzwords als ‘cyberresilience‘, ‘cyberweerbaarheid‘ en ‘cross-border informatie-uitwisseling’. Hoewel deze termen hun eigen lading dekken, gaat het er uiteindelijk om dat je weet wat er in jouw netwerk en daarbuiten gebeurt. Je kunt niet meer zeggen, “Oh, we zijn maar een klein bedrijf; wie zou ons willen hacken?” NIS2 maakt het duidelijk: het maakt niet uit wie je bent; je maakt deel uit van een groter geheel.
Tot slot
Of je het nu leuk vindt of niet, de NIS2-richtlijn is hier en het verandert de manier waarop we denken over cybersecurity in Europa. In plaats van het te zien als een last, kunnen we het beter omarmen als een kans om de manier waarop we met cyberdreigingen omgaan, te transformeren. Immers, in de wereld van cybersecurity is stilstaan achteruitgaan.
Dus, hoe bereid jij je voor op deze nieuwe cyber-Europa? Ik hoop dat het meer inhoudt dan alleen maar het afvinken van compliance-lijstjes.
hashtags #cyberweerbaarheid #nis2 #oneconference #CISO