NIS-2: Een overzicht en waarom het zo belangrijk is

Geplaatst door CorporatieMedia op
 

In januari 2023 werd een vernieuwde versie van de Europese NIS-richtlijn geïntroduceerd, NIS-2 genaamd. Deze richtlijn heeft als doel de veiligheid van toeleveringsketens te verhogen door bedrijven te verplichten de cyberveiligheidsrisico's binnen toeleveringsketens en leveranciersrelaties te beheersen. NIS-2 streeft ernaar om de cyberbeveiliging van de toeleveringsketens voor cruciale informatie- en communicatietechnologieën op Europees niveau te versterken.

Wat zijn de fundamenten van NIS-2?
NIS-2 is gebaseerd op drie beveiligingsprincipes:

  • Inzicht krijgen in beveiligingsrisico's;
  • Risico's verminderen door middel van bescherming en detectie;
  • De impact van cyberincidenten beperken.

Deze drie principes vormen op dit moment de basis van beveiligingseisen voor vitale sectoren. Met de nieuwe eisen zal het aantal bedrijven dat binnen deze categorie valt aanzienlijk groeien. De richtlijn is ook van toepassing op leveranciers van cloudservices, de zogenoemde Managed Service Providers zoals wij.

Welke stappen dienen ondernomen te worden?
NIS-2 vereist het nemen van passende en evenredige technische, operationele en organisatorische maatregelen. Deze maatregelen zijn bedoeld om de beveiliging van netwerk- en informatiesystemen te waarborgen en om incidenten te voorkomen of de gevolgen ervan te beperken voor klanten van een eventueel getroffen bedrijf. Hierbij dient rekening gehouden te worden met de stand van de techniek, de relevante Europese en internationale normen en de uitvoeringskosten.

Waarom is risicomanagement zo cruciaal?
De te nemen maatregelen moeten resulteren in een beveiligingsniveau voor netwerk- en informatiesystemen dat in overeenstemming is met de potentiële risico's. Bij het beoordelen van te nemen maatregelen dient rekening gehouden te worden met de risico's waaraan een organisatie wordt blootgesteld, de omvang van de organisatie en de mogelijke maatschappelijke en economische gevolgen van een incident.

Wat is de deadline?
De nieuwe richtlijn is gepubliceerd op 16 januari 2023, en de Europese lidstaten hebben tot 17 oktober 2024 om de noodzakelijke bepalingen op te stellen en bekend te maken om aan de richtlijn te voldoen. De richtlijn moet op 18 oktober 2024 in werking treden.

IT-beveiliging heeft altijd onze hoogste prioriteit gehad, daarom verwelkomen wij dergelijke richtlijnen en houden wij ze nauwlettend in de gaten om ervoor te zorgen dat we tijdig voldoen aan de eisen van deze nieuwe richtlijn.

Bron: NEH, Foto: NEH