nl

Inzicht in de NIS2-richtlijn: Versterking van de cyberbeveiliging in Europa

31-12-2024
NIS2 verbetert en breidt de reikwijdte van de cyberbeveiligingseisen uit om het probleem van evoluerende bedreigingen in een steeds meer onderling verbonden wereld aan te pakken.

De NIS2-richtlijn van de Europese Unie, een van de belangrijkste pijlers van haar strategie op het gebied van cyberbeveiliging, bouwt voort op het fundament dat is gelegd met de NIS1-richtlijn (richtlijn inzake de beveiliging van netwerk- en informatiesystemen). De NIS2-richtlijn, die in januari 2023 is gepubliceerd en in oktober 2024 moet zijn geïmplementeerd, verbetert en verbreedt de reikwijdte van de vereisten voor cyberbeveiliging om evoluerende bedreigingen in een steeds meer onderling verbonden wereld aan te pakken.

Hier volgt een overzicht van de richtlijn, de sectoren waarop deze van invloed is, de implementatieregelgeving en waarom het verwijderen van single points of failure essentieel is voor veel organisaties.

Wat is de NIS2-richtlijn?

NIS2 stelt een uniform niveau van cyberbeveiliging vast voor alle kritieke sectoren in de EU. De belangrijkste doelstellingen zijn:

1. Het verbeteren van de weerstand van kritieke infrastructuur.

2. De samenwerking tussen de EU-lidstaten verbeteren.

3. Invoering van strengere verplichtingen inzake cyberbeveiliging en rapportage van incidenten voor een bredere reeks sectoren.

Deze update is een reactie op de tekortkomingen van NIS1, met name de ongelijke implementatie en het gebrek aan duidelijke verplichtingen voor kleinere, maar kritieke entiteiten.


Nieuwe sectoren waarop NIS2 van invloed is:

Terwijl NIS1 gericht was op kritieke sectoren zoals energie, vervoer, gezondheid en digitale infrastructuur, breidt NIS2 het toepassingsgebied aanzienlijk uit. Tot de nieuw betrokken sectoren behoren:

Openbaar bestuur: Nationale en regionale entiteiten vallen nu onder de richtlijn vanwege hun rol in de maatschappelijke stabiliteit.

Post- en koeriersdiensten: Erkend als essentieel vanwege hun rol in logistiek en handel.

Afvalbeheer: Zowel afvalinzameling als -verwerking worden van cruciaal belang geacht voor de volksgezondheid en de bescherming van het milieu.

Productie van kritieke producten: Industrieën die items produceren die essentieel zijn voor het maatschappelijk functioneren, zoals medische apparatuur, chemicaliën en elektronica.

Voedsel- en waterketenDit gaat verder dan waterzuiveringsinstallaties en omvat ook leveranciers en logistiek.

Daarnaast introduceert NIS2 twee categorieën voor entiteiten: Essentiële entiteiten (EE) en Belangrijke entiteiten (IE), met enigszins verschillende nalevingsverplichtingen.

De uitvoeringsverordening voor NIS2

De NIS2-richtlijn vereist dat lidstaten nationale wetten en handhavingsmechanismen opstellen voor de implementatie, geharmoniseerd door middel van specifieke richtlijnen:

i. Minimumveiligheidsnormen:

  • Implementatie van krachtige risicobeheerpraktijken.

  • Gebruik van geavanceerde encryptie, toegangscontrolemechanismen en regelmatige audits.

ii. incidentenrapportage:

  • Organisaties moeten cyberbeveiligingsincidenten binnen 24 uur na ontdekking melden aan nationale autoriteiten, gevolgd door een gedetailleerd incidentrapport binnen 72 uur.

iii. centraal toezicht:

  • Elke lidstaat moet een ***Nationale Bevoegde Autoriteit`(NCA) oprichten om toezicht te houden op de naleving en sancties op te leggen.

iv. Boetes voor niet-naleving:

  • Maximale boetes voor overtredingen zijn vastgesteld op het hoogste van de volgende bedragen: €10 miljoen of 2% van de wereldwijde omzet.

  • Persoonlijke aansprakelijkheid van bestuursleden bij niet-naleving.

De regelgeving legt ook de nadruk op samenwerking tussen overheden en particuliere entiteiten om informatie over bedreigingen te delen en reacties te coördineren.


Single Points of Failure elimineren: Een absolute prioriteit

Een van de belangrijkste uitgangspunten van NIS2 is de vereiste om Single Points of Failure (SPOF) binnen kritieke systemen aan te pakken. Voor veel entiteiten vertegenwoordigen SPOF's kwetsbaarheden die, als ze worden blootgelegd, kunnen leiden tot catastrofale verstoringen. Voorbeelden zijn:

    • Gecentraliseerde IT-systemen: Te veel vertrouwen in één cloud service provider of datacenter.
    • Essentiële softwareafhankelijkheden: Een enkele, ongepatchte kwetsbaarheid in veelgebruikte software (bijv. supply chain-aanvallen zoals SolarWinds).
    • Risico's voor personeel op sleutelposities: Gebrek aan redundantie in besluitvormingsfuncties of expertise op het gebied van cyberbeveiliging.

Waarom is dit belangrijk?

i. Cyberaanvallen worden steeds geavanceerder:

  • Cybercriminelen en door de staat gesponsorde actoren maken gebruik van SPOF's om ransomware-aanvallen uit te voeren, toeleveringsketens te verstoren of kritieke diensten te manipuleren.

ii. Weerbaarheid is essentieel:

  • Entiteiten moeten gedistribueerde, redundante systemen bouwen die de impact van een enkele storing minimaliseren.

iii. Naleving:

  • Het aanpakken van SPOF's sluit aan bij het mandaat van de richtlijn om risicobeheer en bedrijfscontinuïteitsmaatregelen te implementeren.

Praktische maatregelen:

  1. Netwerksegmentatie: Ervoor zorgen dat gevoelige gegevens en kritieke systemen worden geïsoleerd van minder veilige netwerken.

  2. Diverse leveranciers: Vermijden dat men te veel vertrouwt op één leverancier voor kritieke functies zoals cloudservices.

  3. Regelmatige risicobeoordelingen: Afhankelijkheden in kaart brengen om kwetsbaarheden te identificeren en aan te pakken.

De toekomst veiligstellen: Voorbereiding op NIS2

Als organisaties zich voorbereiden op de NIS2-richtlijn, zijn verschillende stappen cruciaal:

1.     Gap-analyse:

  • De huidige cyberbeveiligingsmaatregelen toetsen aan de vereisten van de richtlijn.

2.      Implementatie van cyberbeveiligingsbeleid:

  • Zorg voor goede respons bij incidenten, rampherstelplannen en trainingsprogramma's voor werknemers.

3.     Technologische investeringen:

  • Gebruik geavanceerde tools voor bedreigingsdetectie, versleuteling en beveiligingsbewaking.

4.    Samenwerking:

  • Samenwerkingsverbanden opzetten met overheidsinstanties en spelers uit de particuliere sector voor het delen van informatie en gecoördineerde reacties.

Conclusie

De NIS2-richtlijn betekent een grote stap voorwaarts op het gebied van cyberbeveiliging in de EU en weerspiegelt de onderlinge verwevenheid van de huidige digitale infrastructuur. Door het toepassingsgebied van gereguleerde sectoren uit te breiden en strenge beveiligingsmaatregelen op te leggen, biedt de richtlijn een robuust kader om cyberrisico's te beperken.

Voor bedrijven en overheidsinstanties is de naleving niet alleen een wettelijke verplichting, maar ook een strategische noodzaak. Het verwijderen van single points of failure, het zorgen voor effectieve incidentresponsmechanismen en het opbouwen van veerkracht zijn essentieel om succesvol te zijn in een tijdperk van geavanceerde cyberbedreigingen.

Share