Cybersecurity

NIS2 komt eraan: hoe kies je de juiste oplossing?

3 September 2024 - 2 minuten leestijd
Artikel door Aurimas Cerniakovas

Om cyberweerbaarheid te versterken en maatschappelijke ontwrichting te voorkomen, heeft de Europese Unie de Network and Information Security Directive (NIS2) ingevoerd. Deze richtlijn stelt strengere eisen dan zijn voorganger, NIS, en breidt het toepassingsgebied uit naar meer sectoren. In Nederland wordt NIS2 geïmplementeerd via de Cybersecuritywet (Cbw). Hoewel deze wet pas in 2025 van kracht wordt, adviseert de Nederlandse overheid organisaties om nu al voorbereidingen te treffen.

Belangrijke vragen

Voordat je in gesprek gaat met een aanbieder van beveiligingsoplossingen, is het belangrijk stil te staan bij de volgende vragen:

  • Welke grote risico’s moet ik beperken?
  • Wat vormt mijn kritieke infrastructuur?
  • Aan welke compliance-eisen moet ik voldoen?
  • Wat zijn mijn specifieke doelstellingen?
  • Wat zijn mijn budgettaire beperkingen en prioriteiten?

Risico’s begrijpen

Het is belangrijk te beseffen dat je nooit 100% beschermd bent. Hoeveel tools of kaders (zoals ISO 27001, AVG of NIS2) je ook gebruikt. Wel kun je de risico’s minimaliseren.

Heb je de juiste beveiligingsmaatregelen, dan biedt dat belangrijke voordelen:

  • Je kunt boetes vermijden of de hoogte van boetes verkleinen.
  • Je beschermt je reputatie.
  • Je beschikt over een soepelere herstelprocedure.
  • Je beperkt de eventuele financiële en operationele schade.

Bij het beoordelen van risico’s is het belangrijk dat je je inbeeld wat er zou gebeuren als je internetverbinding wegvalt, kritieke diensten uitvallen of gevoelige gegevens verloren gaan. Stel jezelf de vraag: kun je dan nog diensten leveren? Hoe groot is de kans dat malware, verkeerde configuraties of natuurrampen voor downtime zorgen? Als je deze risico’s wilt minimaliseren, kun je overwegen een expert in te schakelen.

Kritieke infrastructuur identificeren

De kerncomponenten van je IT-diensten worden beschouwd als je kritieke infrastructuur. Bespreek dit met je IT-afdeling om er zeker van te zijn dat je begrijpt welke systemen essentieel zijn voor je operaties.

Voldoen aan compliance-eisen

Verschillende landen kunnen aanvullende regels hebben over hoe gegevens worden verwerkt en gedeeld. Het is cruciaal om je eigen landspecifieke vereisten te kennen. Deze informatie helpt aanbieders van beveiligingsoplossingen hun aanbod aan te passen en helpt IT-managers en beveiligingsofficieren bij het stellen van de juiste vragen.

Je doelstellingen bepalen

Je doelstellingen moeten in lijn zijn met de risico’s die je hebt geïdentificeerd. Bijvoorbeeld:

  • Als toegangs- en wijzigingsbeheer prioriteit hebben, is een SIEM (Security Information and Event Management)-oplossing essentieel. Deze oplossing bewaakt dan de beveiligingslogs van de domeincontrollers.
  • Als netwerkbeveiliging de focus is, implementeer dan sterke basisconfiguraties en monitor de beleidswijzigingen en het netwerkverkeer.
  • Als endpointbeveiliging cruciaal is, overweeg dan een EDR- (Endpoint Detection and Response-) of XDR- (Extended Detection and Response-)oplossing.
  • Als je 24/7-monitoring nodig hebt, moet je minstens zeven medewerkers inzetten om continue dekking te waarborgen.

Budgetoverwegingen

Denk na over de kosten van de implementatie van je doelstellingen. Als je bij nul begint, kan het wel twee jaar duren eer je profijt hebt van je acties.

Houd rekening met de volgende punten:

  • Een cybersecurity-expert is niet hetzelfde als een compliance-expert. Beide zijn nodig, maar beschikken over verschillende vaardigheden. Zorg ervoor dat je voor elk een aparte professional hebt.
  • Een engineer zal je SIEM- of XDR-omgevingen niet monitoren. Richt je op de inhuur van een SOC-analist of werk samen met een MSSP (Managed Security Service Provider).
  • Betrek je IT-beheerder, servicedesk en engineeringteams in je budget, aangezien patchen en incidentmanagement 10% tot 20% van hun tijd innemen. Voor grotere infrastructuren heb je mogelijk toegewijd personeel nodig.
  • Wees grondig in je onderzoek naar tools, licenties en infrastructuurkosten. Aanbieders bieden een verscheidenheid aan oplossingen; kies de oplossing die het beste past bij je behoeften. Eenvoudige beslissingen kunnen je organisatie duizenden euro's besparen. Of je nu kiest voor on-premise- of cloud-oplossingen, beide kunnen in verschillende scenario’s effectief zijn.

Prioriteiten stellen

Het is bijna onmogelijk om alles in één keer te realiseren, vooral als je middelen beperkt zijn. Als je wordt beperkt door tijd of budget, richt je dan eerst op compliance. Zorg ervoor dat je gebruikers goed zijn opgeleid en je processen veilig zijn. Zelfs de meest geavanceerde cybersecuritytools zijn nutteloos als medewerkers niet op de hoogte zijn van best practices. Als tijd een cruciale factor is, overweeg dan outsourcing naar een MSSP.

Dit artikel biedt een eerste leidraad om van start te gaan Succes met het treffen van de juiste voorbereidingen!

Box 1: Wat is de NIS2-richtlijn?

De NIS2-richtlijn (Network and Information Systems 2) is een belangrijke Europese wet die gericht is op het versterken van de cybersecurity binnen de Europese Unie (EU). In Nederland zal deze wet meer dan 10.000 organisaties treffen, evenals ongeveer 50.000 leveranciers van deze organisaties. Beide groepen moeten verschillende cybersecuritymaatregelen implementeren.

Deze richtlijn volgt op de oorspronkelijke NIS1, die in 2016 werd ingevoerd. De bijgewerkte NIS2-richtlijn, die op 17 oktober 2024 in Europa van kracht wordt, breidt het toepassingsgebied uit en stelt strengere eisen voor het beveiligen van netwerk- en informatiesystemen.

Europese en Nederlandse NIS2-wetgeving

De NIS2-richtlijn is een Europese wet. Dit betekent dat elke EU-lidstaat deze richtlijn in zijn nationale wetgeving moet opnemen. In Nederland gebeurt dit via wijzigingen in de bestaande Wet beveiliging netwerk- en informatiesystemen (Wbni), met een overgang die later dit jaar plaatsvindt.

Voor meer informatie over NIS2, bezoek de Samendigitaalveilig-website.

Insights-update

Ontvang nieuwe Insights maandelijks in je inbox.

Schrijf je in.
Gerelateerde artikelen
Databeveiliging? Zorg voor een back-up!
Cybersecurity
Wat als het ondanks die awareness toch misgaat en jouw bedrijfsgevoelige informatie gestolen of gegijzeld ...
Risico’s cybercrime nog steeds onderschat
Cybersecurity
Waar organisaties hun fysieke veiligheidsmaatregelen meestal goed op orde hebben, staat dit vaak nog in s ...
Digitale veiligheid in tijden van cyberaanvallen
Cybersecurity Public
Nederland kan zich opmaken voor meer cyberaanvallen, want malware zoals nu in de Oekraïne ingezet wordt z ...