NIS2 wet komt eraan: dit kun je nu al doen.

nis2 wet

De verwachting is dat de Europese wet rond cybersecurity, NIS2, aan het eind van het jaar ook in Nederland effectief wordt. De wet heeft nogal wat impact op het regelen van cybersecurity voor essentiële en belangrijke bedrijven en organisaties. Wachten tot de wet werkelijk van kracht is, is geen goed idee. Maar wat kun je nu al doen? We gingen in gesprek met Harm Teerenstra Systems Engineer Public bij onze partner Fortinet.

In onze voorgaande blog vertelden we wat NIS2 inhoudt en welke verplichtingen voor essentiële en belangrijke bedrijven en organisaties gelden. Dat betekent ook voor veel bedrijven en organisaties dat zij met hun beleid rondom cybersecurity aan de slag moeten om te zorgen dat zij compliant zijn.

 

Tien punten

“Er zijn tien punten waar je wat mee moet als organisatie”, vertelt Harm. “Dat is bijvoorbeeld een beleid rondom risicoanalyse. Het periodiek analyseren van securityrisico’s is voor veel organisaties op dit moment nog vreemd. Die doen dat helemaal niet, maar dat moet straks wel. Periodiek een kwalitatieve of kwantitatieve risicoanalyse is een must, het is geen optie meer. Net als het hebben en periodiek testen van een incident response plan, dat is ook voor veel organisaties nog steeds een ver van hun bedshow. Of het is verouderd.”

 

Zorgplicht

Al deze punten vallen onder de zogenoemde zorgplicht. “Belangrijk is in ieder geval het punt rondom beveiliging van de toeleveringsketen. Dat is nieuw en lastig om te implementeren. Het punt is, is dat veel incidenten of hacks die plaatsvinden, niet eens direct gebeuren bij de organisatie zelf, maar bij een toeleverancier, waarna via een VPN (Virtual Private Network) alsnog toegang wordt verkregen.” Daarnaast wijst Harm op het punt rondom het beoordelen van de effectiviteit van genomen security maatregelen. “Ik denk dat het gemiddelde mkb-bedrijf zich afvraagt hoe ze dat moeten beoordelen”, aldus Harm. “In ieder geval is met het lanceren van NIS2 duidelijk dat deze maatregelen ook wel nodig zijn. De algemene tendens is dat bedrijven en organisaties te weinig aandacht hebben gehad voor cybersecurity. Het wordt vaak als een last gezien, een kostenpost. Dat betekent dat er maar een heel beperkt budget naar cybersecurity ging. Met alle gevolgen van dien. Ik zie het als een soort verzekering. Je betaalt ook verzekeringspremie zonder dat je daar iets voor terugkrijgt, tot het moment dat het fout gaat.”

 

Dit kun je nu al doen

Harm: “Vanaf dag 1 dat de wet geldt, moet je eraan voldoen. Daarom is het goed om nu al te kijken wat je kunt of zelfs moet doen.” Het Amerikaanse NIST Cybersecurity Framework (CSF) biedt gelukkig de handvaten om tot een procesmatige aanpak van informatiebeveiliging te komen. Het CSF bestaat uit een verzameling van richtlijnen, procedures en best practices die organisatie helpen bij het beheersen van cyberrisico’s met als resultaat het verhogen van de digitale weerbaarheid. In zijn presentatie tijdens het Labs Event gaat Harm in zes stappen door te nemen maatregelen. Naast de punten van dit Amerikaanse framework kijkt hij ook naar het normenkader van ISO. “Maar in Amerika wordt het iets makkelijker omschreven dan in de ISO, daarom wordt het NIST Framework ook steeds meer geadopteerd. De rode draad is vaak behoorlijk hetzelfde. De zes punten uit het NIST framework kunnen bijdragen aan het doelgericht en logisch maken van je informatiebeveiligingsbeleid. Daarmee kun je voldoen aan NIS2.” De punten samengevat:

  • Het vaststellen en bewaken van de beveiligingsrisicobeheersstrategie, – verwachtingen en -beleid.
  • In kaart brengen van belangrijke activa met bijbehorende risico’s
  • Implementatie van preventieve maatregelen om de activa te beschermen
  • Implementatie van detectieve mechanismen waarmee indicatoren kunnen worden ontdekt die wijzen op een beveiligingsincident
  • Effectieve reactie op een incident om de situatie te beheersen en impact te verminderen
  • Herstel van normale werking van een organisatie na een incident.

“Breng je organisatie eens in kaart aan de hand van deze functies. Dat geeft al een heel behoorlijk beeld en kun je inventariseren waar nog aan gewerkt moet worden. Goed idee ook om een IT-partner in de arm te nemen voor advies en aantoonbaar maakt dat je ermee bezig bent. Andersom geldt ook dat resellers dit onderwerp ook goed onder de aandacht moeten brengen van hun klanten”, aldus Harm.

 

Doe de NIS2-Scan

Speciaal voor bedrijven die worstelen met de invoeren van NIS2 hebben we een scan ontwikkeld waarmee je direct inzicht krijgt in de status van je cybersecurity. Het is een uitgebreide checklist, die is opgesteld in samenwerking met een advocatenkantoor en een adviesbureau. De scan kost je anderhalf uur investering van je tijd, verder is deze kosteloos. Je krijgt hierna een waardevol rapport in handen waarmee je vooruit kunt en die je handvaten geeft voor de NIS2-wetgeving.

NIS2-scan aanvragen

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Doe de NIS2-scan

NIS2: vroeg of laat komt ie toch en dan kun je maar beter goed voorbereid zijn. Met de NIS2-scan krijg je een goed inzicht in de huidige security status en weet je wat je moet doen om straks aan de wettelijke voorschriften te voldoen.

Vond je deze blog interessant?

Schrijf je dan in voor onze wekelijkse, korte nieuwsbrief en ontvang handige tips en interessante kennis van onze experts in je inbox. Mis dit niet!

Stuur mij de nieuwsbrief

Je privacy is 100% gegarandeerd.

© 2023 · disclaimer · voorwaarden · privacy · cookies · concept: Custard on & offline communicatie · realisatie: Arrix

Wij willen jou!

Check onze vacatures