What is the NIS2?
The Network and Information Security directive, or NIS2 directive, is intended to improve the cybersecurity and resilience of essential and important services in EU member states. This directive is currently being transposed into national law and will enter into force sometime in 2025 and will apply to governments and at least 30,000 companies.
Table of Contents
Duty of care
De zorgplicht vereist dat uw organisatie een aantal maatregelen op orde heeft. Een overzicht van de te nemen maatregelen ziet u hieronder, samen met een korte beschrijving hiervan.
Risk management
It is mandatory to do a risk assessment yourself. Based on this, you take appropriate measures to guarantee your services as much as possible and to protect the information used.
Incident and data breach management
This includes protocols and procedures that must be followed when managing data breaches and incidents. It is important to develop procedures for detecting, monitoring, resolving and reporting incidents. This way you can respond quickly and adequately when your organization is affected. NIS2 entities are obliged to report incidents to the central reporting point and the supervisor. The reporting requirements must be anchored in the business processes. Drawing up an incident response plan can help with this.
Business Continuity
Business continuity refers to an organization's ability to continue its essential functions and core activities even in the event of unexpected and severe disruptions or emergencies. These disruptions can range from natural disasters and power outages to cyber attacks, such as Distributed Denial of Service (DDoS) attacks. A disruption can lead to reputational damage, downtime and loss of revenue, additional costs and recovery time, legal and regulatory consequences.
Supply Chain Management
Om de toeleveringsketen NIS2-proof te maken, dient u de zwakke plekken van uw leverancier of dienstverlener in te schatten. Hierbij kunt u denken aan bijvoorbeeld:
- Specific weaknesses of each direct supplier and service provider.
- Quality of the products and the cybersecurity habits of their suppliers and service providers.
- Secure procedures for developing products and services.
Measuring policy effectiveness
Om het effect te meten, moeten de security maatregelen getoetst en geëvalueerd worden. Om dit gestructureerd en systematisch te laten plaatsvinden, moet de toetsing in het beleid van de organisatie worden opgenomen. Eén van de manieren om de effectiviteit van maatregelen te toetsen is via een securitytest of een audit.
Cybersecurity awareness and trainings
NIS2 and security awareness are closely linked because NIS2 is not only focused on technical measures, but also on promoting a culture of awareness within organizations. It emphasizes the essence of employee awareness and training. Security awareness not only includes understanding potential threats and recognizing suspicious activities, but also acting correctly in the event of possible cyber attacks. NIS2 therefore emphasizes the obligation for organizations to invest not only in technological security of systems, but also in training and informing staff about risks and best practices in the field of cybersecurity.
Policies and procedures regarding cryptography
Er zijn regels gedefinieerd en geïmplementeerd voor het doeltreffende gebruik van cryptografie en voor het beheer van cryptografische sleutels.
Het doel van beleid en procedures voor cryptografie en encryptie is dat de vertrouwelijkheid, integriteit, onweerlegbaarheid, authenticiteit en authenticatie van data gewaarborgd wordt. In een beleidsdocument inzake cryptografie beschrijft u het beleid en de technieken die u ingezet heeft om de vertrouwelijkheid en integriteit van informatie te waarborgen. Onderdelen om mee te nemen in het beleidsdocument zijn configuratie- en sleutelmanagement, effectiviteit en beheer.
Authorization management
Om grip te houden op de beschikbaarheid, integriteit en vertrouwelijkheid van uw netwerk en informatiesystemen, is het van belang om een goed toegangsbeleid in te richten. In een toegangsbeleid bepaalt u wie toegang heeft tot welke systemen en met welke rollen en rechten. Omdat elke organisatie te maken heeft met nieuwe medewerkers, vertrekkende medewerkers of functiewisselingen, is een zorgvuldige administratie van toegangsrechten hard nodig.
Multi-factor authentication and other secure login or communication methods
Voor veilige bedrijfsprocessen is het nodig dat gebruikers, apparaten en andere activa worden geauthentiseerd door middel van meerdere authenticatiefactoren of continue authenticatiemechanismen om toegang te krijgen tot de netwerken en informatiesystemen van de organisatie. De mate en sterkte van de authenticatie moet geschikt zijn voor de classificatie van de activa waartoe toegang moet worden verkregen. Welke toegang hoog geclassificeerd is, heeft u geïnventariseerd in de risicoanalyse of de bedrijfsimpactanalyse (BIA).
The use of additional authentication prevents an attacker from gaining access to an account by guessing or discovering the password through, for example, social engineering or a successful phishing attack.
Security in network acquisition, development and maintenance (plus vulnerability response and disclosure)
The NIS2 guideline states that an organization must have a policy on the security of acquiring, developing and maintaining the network. In addition, the organization must also have a policy on how it deals with vulnerabilities.
Beleid over de beveiliging van netwerk- en informatiesystemen gaat over een groot aantal onderwerpen, zoals netwerkbeveiligiging, configuratie-, change-, vulnerability management, secure development life cycle en inkoopbeleid. Na het opstellen en vaststellen van een beleid voor de beveiliging van de netwerk- en informatiesystemen van uw organisatie, kunt u het netwerk in kaart brengen. Alleen als u het netwerk kent en begrijpt, kunt u de juiste afwegingen maken om de digitale weerbaarheid van deze systemen te verbeteren.
Human resources security aspects (rights management)
Organisaties die belang hechten aan hun cyberbeveiliging, hebben aandacht voor beveiligingsaspecten van personeel, toegangsbeleid en het beheer van assets (hardware en software). Wie heeft toegang tot wat en met welke rechten? Door deze beveiligingsaspecten serieus te nemen en passende maatregelen te implementeren, verbetert u de cyberbeveiliging in deze eerste linie en vergroot u de veerkracht van de netwerk- en informatiesystemen.
Personnel, access policy and asset management
The duty of care under the NIS2 guideline requires measures in 3 areas: security aspects of personnel, access policy and asset management.
Obligation of registration
Entities that fall under the NIS2 directive are required to register. This registration should provide a Europe-wide picture of the number of entities under NIS2.
Duty to report
The guideline requires entities to report incidents to the supervisory authority within 24 hours. These are incidents that (could) significantly disrupt the provision of the essential service. In the event of a cyber incident, it must also be reported to the Computer Security Incident Response Team (CSIRT), which will then provide help and assistance. Factors that make an incident worth reporting include the number of people affected by the disruption, the duration of a disruption and the possible financial losses.
Supervision
Organizations that fall under the directive will also come under supervision. Compliance with the obligations under the directive, such as the duty of care and reporting, is examined.