NIS2
Jawel, de eerste NIS2 boeken zijn er al. De NIS2-richtlijn (Directive on Security of Network and Information Systems) is de herziene versie van de oorspronkelijke NIS-richtlijn en brengt enkele belangrijke veranderingen en uitbreidingen aan in het kader van de cybersecurity van de Europese Unie. De NIS2 is sinds 16 januari 2023 Europees in werking getreden. Eind oktober 2024 (aka NIB2/WNBI-2) zal deze wet ook in Nederland per wet van kracht zijn.
Enkele van de belangrijkste kernpunten en veranderingen in NIS2 omvatten:
Uitgebreid Toepassingsgebied:
- Meer Sectoren: NIS2 breidt zich uit naar nieuwe sectoren, zoals de digitale infrastructuur, die nu essentiële en digitale dienstverleners omvat. Gemeenten en de Rijksoverheid vallen nu ook expliciet onder de NIS2.
- Kleine en Micro-ondernemingen: Kleine en micro-ondernemingen zijn over het algemeen uitgesloten van de richtlijn, maar bepaalde voorwaarden kunnen van toepassing zijn als ze als hoog risico worden beschouwd.
Striktere Beveiligingseisen:
- Beveiligingsincidenten: Er zijn strengere vereisten voor het melden van beveiligingsincidenten aan nationale autoriteiten.
- Risicobeheer: Organisaties moeten risicobeheerpraktijken toepassen die ervoor zorgen dat netwerk- en informatiesystemen veilig zijn.
Betere Informatiedeling:
- NIS2 moedigt samenwerking en informatie-uitwisseling aan tussen lidstaten via verschillende coöperatieve structuren.
- Het legt ook meer focus op grensoverschrijdende samenwerking om de algemene cyberweerbaarheid van de EU te verbeteren.
Hogere Sancties:
- Lidstaten worden aangemoedigd om financiële sancties in te voeren voor niet-naleving, waarbij de sancties effectief, evenredig en afschrikwekkend moeten zijn.
Nationale Strategieën en Beleid:
- Lidstaten moeten nationale strategieën voor netwerk- en informatiebeveiliging ontwikkelen en implementeren, evenals regelmatige evaluaties en updates uitvoeren.
Cybersecurity Competentiecentra:
- Elk land moet een nationaal competentiecentrum voor cybersecurity opzetten dat als liaison fungeert tussen verschillende entiteiten en sectoren.
Toezicht en Handhaving:
- Strikkere toezichtsmechanismen worden ingevoerd om ervoor te zorgen dat essentiële en digitale dienstverleners passende beveiligingsmaatregelen implementeren.
- Toezichthoudende autoriteiten krijgen de opdracht om de naleving van de richtlijn te handhaven, met bijzondere aandacht voor essentiële diensten.
Supply Chain Beveiliging:
- Er is meer aandacht voor de beveiliging van de supply chain en de noodzaak om de beveiligingspraktijken van leveranciers en dienstverleners te evalueren.
Diensten voor de samenleving:
- Bevat nu ook de sectoren die maatschappelijk belangrijke diensten verlenen, zoals gezondheid, water, afvalbeheer, en digitale infrastructuur en dienstverleners.
Gerichte Impactbeoordelingen:
- Regelmatige beoordelingen om de impact en effectiviteit van beveiligingsmaatregelen te evalueren, met aanpassingen indien nodig.
NIS2 versterkt de cybersecuritynormen binnen de EU en moedigt een samenwerkingsbenadering aan tussen verschillende sectoren en lidstaten. Organisaties die onder de richtlijn vallen, moeten ervoor zorgen dat hun cybersecuritybeleid en -praktijken aan de eisen voldoen en bereid zijn om hun aanpak te evolueren naarmate de cybersecurity-omgeving verandert.
Met NIS2 komen er ook eisen aan certificeringen van medewerkers (dus ook voor jou). Dit bijzondere overzicht van de ESINA kan je alvast een indruk geven.
Ben je een penetratietester dan is het geen slecht idee om je OSCP certificering te behalen.