NIS2 regelgeving
De NIS2 (Network and Information Systems) richtlijn is een Europese wetgeving die zich richt op de beveiliging van digitale netwerken en informatiesystemen met als algemeen doel om de cyberbeveiliging binnen de Europese Unie te versterken en te harmoniseren.
De eerste NIS richtlijn werd opgesteld in 2016 en is in juli 2018 van kracht geworden. De richtlijn is van toepassing op alle lidstaten van de Europese Unie en op de EER (Europese Economische Ruimte). Op 14 december werd dan uiteindelijk de NIS 2-verordening gepubliceerd door het Europese Parlement en de Raad van de Europese Unie, na een proces van twee jaar waarin een akkoord werd bereikt onder de lidstaten.
Sinds 2 januari 2023 is de NIS2 regelgeving is van kracht gegaan, de lidstaten hebben 21 maanden om de richtlijnen in hun nationale wetgeving op te nemen. Hierdoor kan tegen eind 2024 een Belgische NIS 2-wet worden verwacht. Volgens de CCB zullen de verplichtingen voor bedrijven waarschijnlijk pas vanaf 2025 van kracht gaan. Tot die tijd blijven de regels van de huidige NIS-wet (ingegaan op 7 april 2019) van kracht.
Onder de NIS richtlijn vielen “vitale sectoren” en “digitale diensten”. Naast deze kritieke infrastructuren voegt de NIS 2-verordening ook de categorie “belangrijke bedrijven” toe.
Essentiële bedrijven | Belangrijke bedrijven |
---|---|
Zorg instellingen | Voeding |
Transport | Communicatie |
Energie | Ruimtevaart |
Digitale diensten | Publieke administratie / Overheidsdiensten |
Banken en financiële instellingen | Post- en koeriersbedrijven |
Digitale infrastructuur | Vervaardiging van essentiële materialen |
Drink- en afvalwater | Afvalverwerking |
Waarom wordt NIS2 ingevoerd?
Er zijn twee belangrijke redenen waarom de NIS2-wetgeving is ingevoerd. Ten eerste omdat cybercriminelen steeds nieuwe manieren ontwikkelen om organisaties aan te vallen en de huidige NIS-wetgeving uit 2018 in Europa niet overal even strikt wordt toegepast of op de juiste manier wordt gehandhaafd. Dit kan problemen veroorzaken voor bedrijven die zaken doen met Europese landen of vestigingen hebben in meerdere landen. Er was daarom behoefte aan een nieuwe wet die in heel Europa wordt gevolgd.
Ten tweede is de cybercriminaliteit in toenemende mate een groot probleem, zo blijkt uit cijfers van de politie die in 2021 47.560 gevallen van cybercriminaliteit hebben geregistreerd, een stijging van meer dan 100% tegenover 2017. We moeten maatregelen nemen om de beveiliging te verbeteren en het aantal cyberaanvallen te verminderen.
Wat moeten bedrijven doen om te voldoen aan de NIS2 regelgeving?
Om compliant te zijn met de NIS2 wetgeving, moeten organisaties maatregelen nemen om hun netwerken en systemen te beschermen tegen cyberaanvallen, het gebruik van encryptie of cryptografie en het bestaan van een beleid en procedures voor cyber security. Eén van deze omvat het uitvoeren van regelmatige pentesting en vulnerability scanning.
Pentesting is een proces waarbij een externe partij (de “pentester”) een organisatie’s netwerken, systemen en applicaties test op zwakke plekken. Dit geeft organisaties inzicht in de eventuele kwetsbaarheden in hun infrastructuur en helpt hen deze te identificeren en te corrigeren.
Vulnerability scanning is een proces waarbij een computerprogramma automatisch zoekt naar bekende kwetsbaarheden in systemen en applicaties. Dit kan helpen om eventuele gevaren snel te identificeren en te corrigeren.
Door regelmatig pentesting en vulnerability scanning uit te voeren, kunnen organisaties ervoor zorgen dat hun netwerken en systemen veilig zijn en compliant zijn met de NIS2 wetgeving. Het is daarom belangrijk om deze beveiligingsmaatregelen op regelmatige basis uit te voeren, om ervoor te zorgen dat de organisatie beschermd is tegen de laatste cyberdreigingen.
Neemt u de eerste stap richting NIS2 compliancy?
Vanuit BOSSIT kunnen we uw bedrijf ondersteunen om te voldoen aan NIS2.
Neem vrijblijvend contact op met één van onze cyber security specialisten via onze contact pagina.