NIS2 wet komt eraan: dit kun je nu al doen.

nis2 wet

De verwachting is dat de Europese wet rond cybersecurity, NIS2, aan het eind van het jaar ook in Nederland effectief wordt. De wet heeft nogal wat impact op het regelen van cybersecurity voor essentiële en belangrijke bedrijven en organisaties. Wachten tot de wet werkelijk van kracht is, is geen goed idee. Maar wat kun je nu al doen? We gingen in gesprek met Harm Teerenstra Systems Engineer Public bij onze partner Fortinet.

In onze voorgaande blog vertelden we wat NIS2 inhoudt en welke verplichtingen voor essentiële en belangrijke bedrijven en organisaties gelden. Dat betekent ook voor veel bedrijven en organisaties dat zij met hun beleid rondom cybersecurity aan de slag moeten om te zorgen dat zij compliant zijn.

 

Tien punten

“Er zijn tien punten waar je wat mee moet als organisatie”, vertelt Harm. “Dat is bijvoorbeeld een beleid rondom risicoanalyse. Het periodiek analyseren van securityrisico’s is voor veel organisaties op dit moment nog vreemd. Die doen dat helemaal niet, maar dat moet straks wel. Periodiek een kwalitatieve of kwantitatieve risicoanalyse is een must, het is geen optie meer. Net als het hebben en periodiek testen van een incident response plan, dat is ook voor veel organisaties nog steeds een ver van hun bedshow. Of het is verouderd.”

 

Zorgplicht

Al deze punten vallen onder de zogenoemde zorgplicht. Tijdens het Labs Event op 16 april in De Lawei in Drachten gaat Harm uitgebreid in op de tien punten. “Belangrijk is in ieder geval het punt rondom beveiliging van de toeleveringsketen. Dat is nieuw en lastig om te implementeren. Het punt is, is dat veel incidenten of hacks die plaatsvinden, niet eens direct gebeuren bij de organisatie zelf, maar bij een toeleverancier, waarna via een VPN (Virtual Private Network) alsnog toegang wordt verkregen.” Daarnaast wijst Harm op het punt rondom het beoordelen van de effectiviteit van genomen security maatregelen. “Ik denk dat het gemiddelde mkb-bedrijf zich afvraagt hoe ze dat moeten beoordelen”, aldus Harm. “In ieder geval is met het lanceren van NIS2 duidelijk dat deze maatregelen ook wel nodig zijn. De algemene tendens is dat bedrijven en organisaties te weinig aandacht hebben gehad voor cybersecurity. Het wordt vaak als een last gezien, een kostenpost. Dat betekent dat er maar een heel beperkt budget naar cybersecurity ging. Met alle gevolgen van dien. Ik zie het als een soort verzekering. Je betaalt ook verzekeringspremie zonder dat je daar iets voor terugkrijgt, tot het moment dat het fout gaat.”

 

Dit kun je nu al doen

Harm: “Vanaf dag 1 dat de wet geldt, moet je eraan voldoen. Daarom is het goed om nu al te kijken wat je kunt of zelfs moet doen.” Het Amerikaanse NIST Cybersecurity Framework (CSF) biedt gelukkig de handvaten om tot een procesmatige aanpak van informatiebeveiliging te komen. Het CSF bestaat uit een verzameling van richtlijnen, procedures en best practices die organisatie helpen bij het beheersen van cyberrisico’s met als resultaat het verhogen van de digitale weerbaarheid. In zijn presentatie tijdens het Labs Event gaat Harm in zes stappen door te nemen maatregelen. Naast de punten van dit Amerikaanse framework kijkt hij ook naar het normenkader van ISO. “Maar in Amerika wordt het iets makkelijker omschreven dan in de ISO, daarom wordt het NIST Framework ook steeds meer geadopteerd. De rode draad is vaak behoorlijk hetzelfde. De zes punten uit het NIST framework kunnen bijdragen aan het doelgericht en logisch maken van je informatiebeveiligingsbeleid. Daarmee kun je voldoen aan NIS2.” De punten samengevat:

  • Het vaststellen en bewaken van de beveiligingsrisicobeheersstrategie, – verwachtingen en -beleid.
  • In kaart brengen van belangrijke activa met bijbehorende risico’s
  • Implementatie van preventieve maatregelen om de activa te beschermen
  • Implementatie van detectieve mechanismen waarmee indicatoren kunnen worden ontdekt die wijzen op een beveiligingsincident
  • Effectieve reactie op een incident om de situatie te beheersen en impact te verminderen
  • Herstel van normale werking van een organisatie na een incident.

“Breng je organisatie eens in kaart aan de hand van deze functies. Dat geeft al een heel behoorlijk beeld en kun je inventariseren waar nog aan gewerkt moet worden. Goed idee ook om een IT-partner in de arm te nemen voor advies en aantoonbaar maakt dat je ermee bezig bent. Andersom geldt ook dat resellers dit onderwerp ook goed onder de aandacht moeten brengen van hun klanten”, aldus Harm.

Blog ICT beveiliging & privacy
Datum: 25-03-2024

Over de auteur:

Harm Teerenstra

NIS2 brengt uitdagingen met zich mee. Als ervaren adviserend sales engineer/pre-sales consultant op het gebied van netwerkinfrastructuur en informatiebeveiliging, met affiniteit voor digitale weerbaarheid en compliance weet Harm dat een proactieve reactie op NIS2 jouw ICT beveiliging verbetert en de reputatie van je bedrijf versterkt. NIS2 draagt bij aan het waarborgen van de continuïteit van je organisatie.

  

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Categorieën

Vond je deze blog interessant?

Schrijf je dan in voor onze wekelijkse, korte nieuwsbrief en ontvang handige tips en interessante kennis van onze experts in je inbox. Mis dit niet!

Stuur mij de nieuwsbrief

Je privacy is 100% gegarandeerd.

Gerelateerde blogs

© 2023 · disclaimer · voorwaarden · privacy · cookies · concept: Custard on & offline communicatie · realisatie: Arrix

Wij willen jou!

Check onze vacatures