Dat NIS aan een upgrade toe is, blijkt uit de snelheid waarmee het aantal cyberaanvallen toeneemt en de impact die een incident op de samenleving heeft. Op 17 oktober moeten dan ook alle EU-lidstaten de nieuwe NIS2-richtlijnen in hun wetgeving hebben opgenomen. Eind vorig jaar werd de stad Antwerpen nog door een ransomware-aanval getroffen. Het is dan ook het doel van NIS2 om organisaties weerbaarder te maken tegen cyberaanvallen met potentieel om hun volledige business lam te leggen. En daar kan toch geen enkel bedrijf iets op tegen hebben?
Hoe bereid je je voor op NIS2?
Security of Network and Information Systems, of kortweg NIS, bestaat al een tijdje. Hoewel het tegen mei 2018 moest omgezet worden in de wetten van elke lidstaat, is het al sinds augustus 2016 in omloop. NIS omvat regels en vereisten omtrent cyber security binnen de EU. Het is opgedeeld in 3 delen: de bekwaamheid van de lidstaat, samenwerking met andere staten over de grenzen heen, en het toezicht van de staat op kritieke sectoren.
Het hoeft dus niet te verwonderen dat er heel wat extra sectoren en bedrijven onder NIS2 zullen vallen.
- Publieke elektronische communicatie netwerken en service providers
- Afvalwater en afvalbeheer
- Voedselindustrie
- Productie van kritische producten (pharma, medische producten, chemicaliën, …)
- Ruimtevaart
- Digitale services (sociale netwerken, data center services)
- Post- en koerierdiensten
- Publieke administratie
Wacht niet tot oktober 2024, maar begin nu al met het doorvoeren van maatregelen op het gebied van cybersecurity. Gelukkig hoeft het niet moeilijk te zijn om voor een goede cyberhygiëne te zorgen. Begin klein en laat je security geleidelijk uitbreiden zoals een olievlek. Dit zijn dingen waar je nu alvast over moet nadenken:
- Incidentbeheer: zorg dat je in staat bent om een incident of anomalie te detecteren en dat je weet wat er moet gebeuren. In veel organisaties is er geen procedure of is niemand ervan op de hoogte.
- Incident notificatie: ga na of je in staat bent om bewijsmateriaal na een incident op een goede manier te bewaren en over te dragen aan de verantwoordelijke autoriteiten.
- Businesscontinuïteit: om de juiste acties te ondernemen, moet je de impact van incidenten op de bedrijfsvoering kunnen inschatten. Hoe gevaarlijk is het als een proces onderbroken wordt? En hoe lang kan je het volhouden vooraleer de business en je gebruikers eronder lijden? Op basis van die info kan je beslissingen nemen over recovery en back-up op maat van jouw organisatie.
- Assetmanagement: wat je niet kent, kan je onmogelijk beschermen. Maak een overzicht van het materiaal dat in de organisatie wordt gebruikt. Hou in fabrieksomgevingen ook rekening met OT.
- Access controle: wie heeft toegang tot welk systeem of welke data? Zeker als je met externe partijen werkt, moet je dit goed in kaart brengen en monitoren.
- Security awareness: het grootste risico zit tussen het keyboard en het scherm. Voorzie daarom zeker een opleidingsprogramma dat je mensen – ook het topmanagement – bewust maakt van de gevaren, zodat ze weten hoe zij actief kunnen bijdragen om de weerbaarheid van de organisatie te vergroten.
Als je dit goed aanpakt, ben je al een flink eind op weg om compliant te worden met NIS2. Zit je nog met vragen na het lezen van dit artikel? Neem contact op via sales@fortlox.be.