Nederland heeft de NIS2-deadline niet gehaald. Wat nu? In januari kondigde de Nederlandse overheid al aan, dat ze de implementatie van de nieuwe NIS2-cybersecurityrichtlijn niet op tijd zouden voltooien. De richtlijn, die op 17 oktober 2024 van kracht zou worden, is te complex. De verwachting is dat deze richtlijn pas in het derde of vierde kwartaal van 2025 in de wet zal worden opgenomen. Dit werd bekendgemaakt in een Kamerbrief. Dit betekent dat bedrijven zich voorlopig nog niet hoeven te houden aan deze regelgeving. In ons vorige blog bespraken we welke sectoren onder deze richtlijn vallen. Echter is het ook voor organisaties die niet onder de essentiële sectoren vallen belangrijk om na te denken over wat er nodig is om jouw organisatie volgens de officiële richtlijn te beschermen en deze vervolgens ook te implementeren.

In dit blog bespreken we de gevolgen van een niet-tijdige implementatie voor organisaties en welke oplossingen je nu al kunt toepassen om jouw organisatie voor te bereiden, ook als je niet onder de essentiële of belangrijke sectoren valt.

Wat zijn gevolgen van niet-tijdige implementatie NIS2-richtlijn?

De NIS2-richtlijn wordt geïmplementeerd in de Cyberbeveiligingswet. Deze wet zal
van toepassing zijn op essentiële en belangrijke entiteiten. De gevolgen van de niet-tijdige implementatie, die van belang zijn voor deze genoemde entiteiten, sommen we hieronder voor je op:

Er gelden geen directe verplichtingen vanuit de NIS2-richtlijn

Het eerste gevolg is dat in de periode tussen 17 oktober 2024 en de datum van inwerkingtreding (verwachting is kwartaal 3 of 4 van 2025) van de Cyberbeveiligingswet geen verplichtingen gelden vanuit de NIS2-richtlijn. Voor alle essentiële en belangrijke entiteiten gaan die verplichtingen in de NIS2-richtlijn pas gelden zodra de Cyberbeveiligingswet in werking treedt. Er kan dus ook niet op de naleving hiervan toezicht worden gehouden door de Nederlandse toezichthouder.

Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) blijft gelden

Voor organisaties die nu onder de Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen, blijven
in deze periode de uit die wet voortvloeiende rechten en plichten, alsook het toezicht op de naleving van die plichten, gelden. De Wbni blijft dus de taken en bevoegdheden van overheidsinstanties uitvoeren totdat de Cyberbeveiligingswet in werking treedt.

Sommige NIS2-bepalingen hebben rechtstreekse werking

Verschillende bepalingen van de NIS2-richtlijn hebben een zogenoemde rechtstreekse werking. Dat betekent dat organisaties die van rechtswege onder de richtlijn vallen, vanaf 17 oktober 2024 bepaalde rechten zullen hebben, zoals het ontvangen van bijstand bij een cyberincident van een CSIRT.

Wat kun je nu al doen om voor te bereiden op de NIS2-richtlijn?

Organisaties die van rechtswege onder de NIS2-richtlijn vallen hebben vanaf 17 oktober 2024 wel al bepaalde rechten, maar niet de plichten vanuit de NIS2-richtlijn. De richtlijn wordt uitgesteld, maar je moet je beveiliging niet uitstellen. Dus ook voor de niet-essentiële bedrijven is het noodzakelijk om maatregelen te nemen en je voor te bereiden op deze nieuwe richtlijn die van werking gaat eind 2025. Digital Trust Center geeft voor elke maatregel tips en handvatten die jou op weg kunnen helpen. Hieronder sommen we een aantal maatregelen voor je op:

Een risicoanalyse en beveiliging van informatiesystemen

Een risicoanalyse en beveiliging van informatiesystemen is één van de eerste en belangrijkste stappen die je kunt nemen om voor te bereiden op de nieuwe NIS2-richtlijn. Met deze gestructureerde aanpak om mogelijk dreigingen te identificeren en de potentiële impact ervan te kunnen bepalen, is je organisatie al een stuk verder op het gebied van cyberbeveiliging.

Beveiligingsaspecten op het gebied van personeel, toegangsbeleid en beheer van assets

Personeel speelt een cruciale rol in de beveiliging van je organisatie. Er zijn verschillende aspecten waarvoor je nu al maatregelen kan nemen. Denk aan cybersecurity trainingen, gedragsregels, toegangsbeperkingen, on- en offboarding procedures, sterke authenticatie (MFA), logging en monitoring, fysieke toegang, incident response plan, wachtwoordbeleid, back-up en herstelbeleid en beleid voor externe partijen. 

Maatregelen op het gebied van bedrijfscontinuïteit

Hoe snel kan jouw bedrijf weer aan de bak na een incident? Want vaak genoeg worden er wel back-ups gemaakt, maar worden die niet gecontroleerd of duurt een herstelactie veel langer dan verwacht. Dat brengt aanzienlijke financiële- en reputatie schade met zich mee. Ontdek hier wat IT-downtime je kan kosten. Met een BCDR-oplossing zorg je ervoor dat je gegevens continue beschermd zijn, de IT-downtime geminimaliseerd wordt, je herstelt van ransomeware en je data vliegensvlug terug hebt. Hoe dit werkt? Lees het op je gemak in dit whitepaper.

Incidentenbehandeling

Incidentenbehandeling richt zich op het beheer van beveiligingsincidenten die de continuïteit van essentiële diensten en kritieke infrastructuren kunnen bedreigen. Denk aan het herkennen van incidenten en het classificeren ervan. Om vervolgens deze incidenten op te lossen volgens verschillende stappen. Van identificatie tot herstel.

Basis hygiëne en trainingen op het gebied van cyberbeveiliging

Basispraktijken voor cyber hygiëne zijn bijvoorbeeld het gebruik van sterke wachtwoorden en MFA, het veilig gebruiken van je e-mail, anti-phishing, back-uppraktijken en het doen van updates. Werknemers moeten zich bewust zijn van de basisafspraken die binnen een organisatie gelden.

Beveiliging van netwerk en informatiesystemen

Bedrijven zijn afhankelijk van hun netwerk- en informatiesystemen, waardoor het belangrijk is deze te beveiligen. Beleid en procedures zijn dus belangrijke maatregelen wat betreft het omgaan met netwerk- en informatiesystemen. Een organisatie moet beleid hebben over hoe het bedrijfsnetwerk is ingericht en welke veiligheidsmaatregelen zijn toegepast. Monitoring is een belangrijk aspect. Een firewall is een belangrijke maatregelen wat betreft een beleidsmatige keuze maken of je verkeer toelaat of niet. Hierbij wordt netwerksegmentatie aangeraden.

Beveiliging van de toeleveranciersketen

Beveiliging van de toeleveranciersketen is ook een belangrijke maatregel. Jij kan het wel goed geregeld hebben, maar vaak ben je ook afhankelijk van andere bedrijven. Ben je digitaal verbonden met een andere organisatie, kan een beveiligingslek grote gevolgen hebben op jouw organisatie. Het is niet makkelijk om zicht en grip te kijken op wat andere organisaties doen en welke cybersecurity risico’s zich voor doen. Maak goede afspraken en stel een beleid op waarin je afhankelijkheidsinstanties in kaart brengt.

Beleid en procedures over het gebruik van cryptografie en encryptie

Cryptografie betekent het versleutelen van specifieke gegevens zodat alleen bevoegde personen deze gegevens kunnen lezen. Dit om jouw bedrijfsassets en andere persoonlijke gegevens goed te kunnen beschermen. Het beleid voor cryptografie bestaat uit configuratiemanagement, sleutelmanagement en effectiviteit en herziening. Dit betekent dat binnen de gehele organisatie een beleid opgesteld moet worden wat betreft de procedure, rollen en verantwoordelijkheden die binnen de organisatie gelden. Denk aan het genereren en distribueren van sleutels, vernietigen en intrekken van sleutels, archiveren van sleutels, back-uppen van sleutels, loggen van sleutelmanagementactiviteiten en indien van toepassing, de uitgifte en het verkrijgen van certificaten.

Het gebruik van multi-factor authenticatie (MFA)

Het gebruik van MFA en andere beveiligde communicatie is van essentieel belang. Met deze beveiligde communicatie zorg je ervoor dat gebruikers, apparaten en andere activa eerst worden geauthentiseerd door middel van verschillende authenticatiefactoren. Denk aan iets dat je weet, hebt of dat je bent, zoals een wachtwoord, identificatie apparaat of token en biometrische gegevens, zoals een handafdruk.

Effectiviteit van beheersmaatregelen

Het beleid om de effectiviteit van beheersmaatregelen van cyberbeveiligingsrisico’s te beoordelen is nodig om te kijken of de genomen maatregelen effect hebben gehad. Aan het begin voer je een risicoanalyse uit, hier komen risico’s naar voren die moeten worden opgelost aan de hand van verschillende maatregelen, zoals hierboven genoemd. Na het implementeren ga je ze toetsen en evalueren. Dit kan bijvoorbeeld door een securitytest. Uit deze test komt een rapport met uitkomsten. Dit kunnen positieve uitkomsten zijn, maar ook verbeterpunten. Deze punten neem je weer mee naar de eerstvolgende risicoanalyse.

Is de NIS2-richtlijn van toepassing op jouw organisatie?

De NIS2-richtlijn is zoals in bovenstaande alinea vermeld van toepassing op essentiële en belangrijke sectoren. Wel kun je altijd de maatregelen die we hierboven beschreven hebben opvolgen en implementeren. De Rijksoverheid heeft een zelf-evaluatie pagina gemaakt, met vragen over jouw organisatie. Met deze evaluatie kom je er gemakkelijker achter of je valt in de essentiële of belangrijke sector.

Benieuwd hoe je organisatie ervoor staat? Aan de hand van de Quickscan van Rijksoverheid kom je erachter hoe de cyberbeveiliging van jouw organisatie ervoor staan.

Fastbyte helpt

Duizelt het je na het lezen van dit blog? Fastbyte maakt ICT behapbaar, zodat jij je kan concentreren op waar jij sterk in bent. Wij bieden verschillende oplossingen, waarbij wij jouw volledige IT beheer voor onze rekening kunnen nemen, een deel hiervan, of alleen enkele cybersecurity maatregelen kunnen instellen zodat jij veilig kan werken. Wel zo fijn! Neem vooral eens vrijblijvend contact met ons op om te zien wat we voor jou kunnen doen.

LEES OOK:

Jouw online basisveiligheid in 5 stappen geregeld

Cybersecurity test: Hoe cyberbewust is jouw bedrijf?

Welke oplossingen biedt Fastbyte?

< Naar het kennisbank overzicht