Hoewel veel EU-landen nog bezig zijn met de details van de implementatie van de NIS2-richtlijn, weten we dat er enkele belangrijke elementen zijn die in elke nationale implementatie zullen worden opgenomen. Hier richten we ons op twee daarvan: Artikel 21 en Artikel 23.
NIS2 Artikel 21: De Zorgplicht
Artikel 21 schetst belangrijke cyberbeveiligingspraktijken die elk bedrijf onder de NIS2-regelgeving moet implementeren. Veel van deze maatregelen heb je waarschijnlijk al overwogen en enkele stappen gezet om ze te implementeren voor de gezondheid en toekomst van je bedrijf. Voor de andere maatregelen staat Eye Security klaar om te helpen.
Verplichte cyberbeveiligingsmaatregelen onder Artikel 21 omvatten:
- Risicoanalyse en Beleid voor Informatiebeveiliging
- Incidentafhandeling - Dit is een integraal onderdeel van Eye's CyberGuard-service.
- Bedrijfscontinuïteit, zoals Backup Management en Contingency Planning, en Crisisbeheer - In geval van een cyberincident garandeert Eye Security ondersteuning als onderdeel van onze CyberGuard-service. Crisisbeheer is opgenomen in deze Incident Response-ondersteuning.
- Beveiliging van de Toeleveringsketen - Dit omvat beveiligingsaspecten met betrekking tot de relaties tussen elke entiteit en haar directe leveranciers of dienstverleners.
- Beveiliging bij de Aanschaf, Ontwikkeling en Onderhoud van Netwerk- en Informatiesystemen - Vulnerability scanning (inclusief nieuw geïdentificeerde kwetsbaarheden) is onderdeel van Eye's CyberGuard-service.
- Beleid en Procedures voor het Beoordelen van de Effectiviteit van Maatregelen voor Cyberbeveiligingsrisicobeheer
- Basis Cyberhygiëne Maatregelen en Training - Eye Security’s optionele Awareness-service omvat regelmatige phishing-simulaties en extra training voor medewerkers die in dergelijke phishing-e-mails trappen.
- Beleid en Procedures met betrekking tot het Gebruik van Cryptografie en, waar van toepassing, Encryptie
- Personeelsbeveiliging, Toegangsbeleid en Asset Management
- Waar Passend, het Gebruik van Multi-Factor Authenticatie of Continue Authenticatie-oplossingen, Veilige Communicatie voor Stem, Video en Tekst, en Veilige Noodcommunicatiesystemen Binnen de Entiteit - Het Eye-portaal geeft beveiligingsmaatregelen zoals MFA-gebruik weer, waardoor klanten inzicht krijgen in de daadwerkelijke toepassing van beveiligingsmaatregelen.
NIS2 Artikel 23: Incidentrapportage
Artikel 23 van de NIS2-richtlijn beschrijft de vereisten voor incidentrapportage. Het definieert wat een incident is, de verplichte rapporten en de inhoud die in deze rapporten vereist is.
Een cyberincident wordt gedefinieerd als:
- Een ernstige operationele verstoring van de diensten van de organisatie.
- Een incident dat financiële schade zou kunnen veroorzaken.
- Een incident dat materiële of immateriële schade zou kunnen veroorzaken aan andere natuurlijke of rechtspersonen.
De exacte criteria voor deze drempels moeten nog worden bepaald, maar we houden de ontwikkelingen in de gaten.
Niemand wil een incident meemaken – maar als je bedrijf ermee te maken krijgt, ben je volgens NIS2 verplicht het als volgt te rapporteren:
- Binnen 24 uur na een incident moet je het rapporteren aan de toezichthoudende autoriteit en het CSIRT dat voor jouw sector is aangewezen. Dit rapport moet vermelden of het incident werd veroorzaakt door onwettige of kwaadwillige acties en of het grensoverschrijdende implicaties zou kunnen hebben.
- Na 72 uur moet een vervolgrapport worden ingediend. Dit rapport moet de informatie uit het eerste rapport bijwerken en een eerste beoordeling van de ernst en impact van het incident geven.
- Een maand na het incident moet een eindrapport worden ingediend. Dit rapport moet een gedetailleerde beschrijving van het incident bevatten, inclusief de ernst en impact, het type dreiging of de onderliggende oorzaak die waarschijnlijk tot het incident heeft geleid, toegepaste en lopende risicobeperkende maatregelen, en, indien van toepassing, de grensoverschrijdende gevolgen van het incident.
- Tijdens een incident kan het CSIRT of de bevoegde autoriteit/toezichthoudende autoriteit om een tussentijds rapport vragen. Dit rapport moet relevante updates over de situatie verstrekken.
Onthoud, het verbeteren van je cyberbeveiliging gaat niet alleen om het voldoen aan de regelgeving – het gaat om jou, je klanten en de veiligheid van je bedrijf. Bezoek onze NIS2-resource hub om meer te leren.
Wij staan voor je klaar tijdens deze reis.