De NIS2-richtlijn: wat betekent dit voor de cyberbeveiliging van uw organisatie?

| 27 mei 2024

Storingen of onderbrekingen van kritieke infrastructuur als gevolg van een cyberaanval kunnen dramatische gevolgen hebben, zoals tekorten in de bevoorrading en verstoringen van de openbare veiligheid. De Europese Unie wil met de NIS2-richtlijn (Network and Information Systems Directive 2022) de cyberweerbaarheid van kritieke bedrijven en instellingen verhogen. Valt uw organisatie eronder? En zo ja, waar moet u rekening mee houden?



De NIS2-richtlijn werd op 16 januari 2023 uitgerold en zal tegen 17 oktober 2024 in de wetgeving van elke EU-lidstaat opgenomen zijn. Volgens de richtlijn moeten bedrijven die kritieke infrastructuren beheren zich indekken tegen een waslijst aan risico’s, zoals menselijke fouten, systeemuitval, kwaadwillende actoren en natuurrampen, en de systemen die hun netwerk- en informatiebeveiliging sturen voldoende beveiligen. Organisaties die de richtlijn aan hun laars lappen kunnen boetes krijgen tot 10 miljoen euro of 2% van hun jaarlijkse wereldwijde omzet. U doet er dus verstandig aan om maatregelen te nemen!
 

Valt uw organisatie onder de NIS2-richtlijn?

 

Of uw organisatie onder NIS2 valt, hangt voornamelijk af van de omvang van uw organisatie en van de sector waarin u actief bent. Zowel ‘zeer kritische’ als ‘kritische’ sectoren vallen eronder:
 

Zeer kritisch Kritisch
Transport Maakindustrie
Energie Afvalbeheer
Bank- en verzekeringswezen Post- en koerierdiensten
Gezondheidszorg Voedingsindustrie (productie, verwerking, distributie)
Drinkwater Chemie en farma
Afvalwater Digitale dienstverleners
Digitale infrastructuur Research
Beheer van ICT-diensten (b2b)  
Overheid  
Ruimtevaart  


Ook alle middelgrote (51 tot 249 werknemers; jaaromzet < 50 miljoen euro) en grote organisaties (+250 werknemers; jaaromzet > 50 miljoen euro) vallen onder de wetgeving.
 

Is uw organisatie ‘essentieel’ of ‘belangrijk’?

 

'Zeer kritische' bedrijven zijn 'essentieel', 'kritische' bedrijven zijn 'belangrijk'. Voor beide categorieën gelden dezelfde eisen inzake cyberbeveiligingsbeheer en verplichtingen voor het melden van incidenten, maar het toezicht op de naleving verschilt. 'Essentiële' organisaties moeten proactief controleren of ze de maatregelen toepassen, voor 'belangrijke' organisaties volstaat reactieve monitoring — dus enkel in geval van een cyberincident.
 

Vier hoofdvereisten

 

Vergeleken met de eerste NIS uit 2016 kent NIS2 vier nieuwe hoofdvereisten:

  1. Risicobeheer: Organisaties moeten alle potentiële risico's aanpakken, waaronder menselijke fouten, systeemuitval, kwade wil, natuurrampen en de fysieke en omgevingsbeveiliging van systemen.
  2. Verantwoordelijkheid: C-level executives moeten erop toezien dat de regels nageleefd worden. Bij overtredingen worden ze persoonlijk aansprakelijk gesteld en riskeren ze een schorsing.
  3. Meldingsplicht: NIS2 heeft gedetailleerde vereisten voor het melden van beveiligingsincidenten.
  4. Bedrijfscontinuïteit: NIS2 is van toepassing op organisaties die diensten aanbieden die van vitaal belang zijn voor het functioneren van de maatschappij. Doet er zich een beveiligingsincident voor, dan moet zo’n organisatie kunnen terugvallen op plannen die ervoor zorgen dat hun diensten blijven draaien, zoals systeemherstel, noodprocedures en het opzetten van een crisisresponsteam.
 

Tien basismaatregelen

 

Organisaties die onder NIS2 vallen moeten tien basismaatregelen nemen om beveiligingsincidenten te voorkomen en de impact ervan te minimaliseren:

  1. Beleid voor risicoanalyse en beveiliging van informatiesystemen
  2. Incidentafhandeling
  3. Bedrijfscontinuïteit (back-upbeheer, noodherstel, crisisbeheer etc.)
  4. Beveiliging van de leveringsketen
  5. Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerken en informatiesystemen, met inbegrip van de behandeling en openbaarmaking van kwetsbaarheden
  6. Beleid en procedures om de effectiviteit van maatregelen voor risicobeheer op het gebied van cyberbeveiliging te beoordelen
  7. Elementaire cyberhygiënepraktijken en cyberbeveiligingstraining
  8. Beleid en procedures met betrekking tot het gebruik van cryptografie en — indien van toepassing — encryptie
  9. Personeelsbeveiliging, toegangscontrolebeleid en activabeheer
  10. Het gebruik van multifactorauthenticatie (MFA, zie verder) of oplossingen voor continue authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen indien van toepassing
  

Konica Minolta helpt u om aan de eisen te voldoen

 

Ontdek onze professionele beveiligingsoplossingen die uw organisatie helpen om te voldoen aan enkele van de belangrijkste NIS2-eisen:

•    Incidentafhandeling en -onderhoud, inclusief afhandeling en openbaarmaking van kwetsbaarheden

Konica Minolta's eindpuntbeveiligingsservice Workplace Intrusion Patrol – gebaseerd op Microsoft Defender – beschermt eindpunten (pc's, laptops, tablets en mobiele telefoons) en servers, ongeacht waar uw werknemers werken en zelfs korte perioden waarin ze niet verbonden zijn met een netwerk. De service detecteert en neutraliseert sluipende aanvallen die andere beveiligingsmaatregelen (zoals wachtwoorden en traditionele antivirustools) wisten te omzeilen, waardoor indringers worden gestopt voordat ze het eindpunt kunnen gebruiken als springplank voor bredere of ernstigere aanvallen.

De toonaangevende antivirusoplossing Bitdefender kan worden opgenomen in de firmware van Konica Minolta's multifunctionele printers uit de bizhub i-serie en bewaakt alle gescande bestanden en documenten die van en naar de printer worden verzonden.

Verder kan Konica Minolta's Shield Guard beveiligingsinstellingen van meerdere multifunctionele printers vanaf elke locatie bewaken.

•    Bedrijfscontinuïteit met back-upbeheer

Konica Minolta's Workplace One omvat onder meer een beheerde Microsoft 365-omgeving, beheerde back-upservices, proactieve bewaking op afstand en het inschakelen van onlineservices zoals Exchange, Teams en OneDrive. De Managed Backup-service van Workplace One biedt een volledig beheerde, geautomatiseerde back-up- en herstelservice om gegevensverlies en kostbare bedrijfsonderbrekingen te voorkomen.

•    Multifactorauthenticatie

Workplace One biedt ook MFA om onbevoegde toegang te voorkomen. Met MFA moeten uw gebruikers een combinatie van twee of meer referenties invoeren om hun identiteit te verifiëren als ze inloggen. Konica Minolta's cloud printoplossing Workplace Pure biedt eveneens MFA.

Meer weten over de NIS2-richtlijn? Neem geheel vrijblijvend contact met ons op. 



 

Blogs

Blogs

5 veelvoorkomende struikelblokken bij het gebruik van Microsoft 365

Nederland is een Microsoft-land, en de logische stap voor iedere organisatie die het Microsoft-ecosysteem heeft omarmd, is een migratie naar Microsoft 365. De voordelen lijken vooraf haast vanzelfsprekend, maar achteraf blijft u misschien op uw...