Vertraagde NIS2-wetgeving geen excuus voor bedrijven om voorbereiding uit te stellen

NIS2 zorgt voor meer security-verplichten voor meer organisaties

De eerste Network and Information Security (NIS) directive werd al in 2015 door Europa opgesteld om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. NIS2 is een aangepaste versie van deze richtlijn waardoor het aantal organisaties die onder de richtlijn vallen is uitgebreid: meer sectoren zijn toegevoegd en niet alleen grote bedrijven binnen deze sectoren vallen nu onder de richtlijn, maar ook middelgrote en kleine organisaties. In het kort krijgen deze organisaties te maken met (1) een zorgplicht om zelf een risicobeoordeling te doen, (2) een meldplicht om incidenten binnen 24 uur aan de toezichthouder te melden die (3) controleert of organisaties de verplichtingen ook naleven. Bedrijven die niet aan de verplichtingen voldoen riskeren een boete van maximaal 10 miljoen euro of 2% van hun wereldwijde omzet. Geen halve maatregelen dus.

Nederlandse overheid haalt eigen deadline niet

Voorlopig hoeven Nederlandse bedrijven nog niet te vrezen voor deze mogelijke financiële gevolgen. De vertaling van de Europese richtlijn in Nederlandse wetgeving is uitgesteld tot volgend jaar, omdat de overheid heeft geconcludeerd dat het zijn eigen deadline niet zal halen. Natuurlijk is omzetten van richtlijnen in wetgeving geen proces dat binnen weken of maanden geregeld is. Maar het bewijst voor mij wel dat digitale beveiliging en digitalisering in het algemeen nog steeds niet bovenaan het prioriteitenlijstje van de overheid staat. Ik pleit al jaren voor een Minister van Digitale Zaken, zodat deze thema’s meer aandacht krijgen in een kabinet. Ik vrees dat het voorlopig bij pleiten blijft.

Geen excuus om voorbereiding uit te stellen

Ik hoop dat organisaties het uitstellen van de nieuwe wetgeving als doorvertaling van NIS2 niet als excuus gebruiken om hun eigen voorbereiding op NIS2 ook uit te stellen. Van uitstel zal waarschijnlijk geen afstel komen hier en die wetgeving gaat echt wel doorgevoerd worden. Die extra tijd kunnen de meeste organisaties goed gebruiken. De mogelijke boetes die organisaties boven het hoofd hangen, moeten ook niet de reden zijn om geen extra beveiligingsmaatregelen te nemen. Uit recent onderzoek van Veeam blijkt dat drie op de vier organisaties in een jaar tijd ten minste één keer te maken heeft gehad met een ransomware-aanval. En slechts een derde gelooft dat zij binnen een week kunnen herstellen van een kleine aanval, crisis of storing. Dat verbaast me niks als andere cijfers van het Digital Trust Center aantonen dat meer dan de helft van de bedrijven die slachtoffer waren van een ransomware-aanval geen back-up had, terwijl júist een goede back-upstrategie essentieel is om na een aanval zo snel als mogelijk weer up and running te zijn. Hiermee kunnen organisaties voorkomen dat ze zich gedwongen voelen om losgeld te betalen aan cybercriminelen. Bijna een vijfde van de Nederlandse bedrijven die slachtoffer werden van een ransomware-aanval zag blijkbaar geen andere mogelijkheid en koos er wel voor om de bankrekening van hun aanvallers te spekken. 

Grijp NIS2-richtlijn aan als kans om je security op orde te brengen

De NIS2 biedt goede richtlijnen voor security-maatregelen. Niet alleen om volgend jaar  torenhoge boetes te voorkomen, maar ook om je eigen data en systemen beter te beschermen tegen cyberaanvallen. Mijn advies is dan ook om je eigen cybersecurity-processen en -technologieën aan de hand van de NIS2-normen onder de loep te nemen en zo te identificeren waar verbetering nodig is. Denk onder meer aan:

Security-maatregelen voor gevoelige data - Zorg voor passende beveiligingsmaatregelen voor personeel dat toegang heeft tot gevoelige data. Integreer zero trust-frameworks, cryptografie en encryptie, en zorg ervoor dat alle systemen regelmatig worden gescand op kwetsbaarheden. Implementeer sterke beveiligingsmaatregelen voor leveranciers in de supply chain en maak waar nodig gebruik van multi-factor authenticatie.

Bedreigingsdetectie - Vroegtijdige detectie van incidenten, zoals ransomware-aanvallen, is cruciaal. Investeer in bedreigingsdetectie, monitoring, alerts en malwaredetectie om incidenten zo vroeg mogelijk op te sporen.

Back-upstrategie - Zorg voor up-to-date back-ups, vooral van bedrijfskritische data. Volg een strategie zoals de 3-2-1-1-0 Golden Backup Rule, waarbij drie kopieën van data op twee verschillende media worden bewaard, waarvan één op een externe locatie en één offline, om nul fouten bij back-up- en herstelverificatie na te streven.

Respons en herstel - Ontwikkel processen voor incidentrapportage en communicatie, en zorg voor noodherstelprocessen om de bedrijfscontinuïteit te waarborgen. Een robuust herstelproces, inclusief planning voor herstel in een aparte, veilige omgeving, is van cruciaal belang om downtime en bijbehorende kosten te minimaliseren. Vorm bij voorkeur een speciaal incident response-team, met vertegenwoordiging uit verschillende bedrijfseenheden, om een incident response-proces te definiëren en dat ook regelmatig te oefenen.

Strategische planning voor herstelomgevingen - Organisaties moeten nadenken over aparte, veilige herstelomgevingen, omdat het herstellen van een omgeving in dezelfde omgeving als het incident vaak niet mogelijk is. Zo voorkom je dat je midden in een een beveiligingsincident moet gaan integreren met nieuwe cloudproviders.

NIS2 is the talk of the town en ondanks dat de wetgeving in Nederland nog iets langer op zich laat wachten gaat die er zeker komen. Nu is het moment om de ‘talks’ om te zetten in ‘actions’ om perfect voorgesorteerd te zijn wanneer NIS2 in werking treedt. Begin met het checken of deze regels op jouw organisatie van toepassing zijn en ga stap voor stap te werk.