Cyberveiligheid: navigeer met vertrouwen door de NIS2

Chip Snepvangers – Business Consultant

In 2016 introduceerde de EU een nieuwe richtlijn betreffende cybersecurity, Network & Information Systems Directive (NIS), waarvan de doelstelling is om de kritieke infrastructuren en economieën binnen de EU te beschermen. De NIS2, die in 2022 is aangenomen, heeft als doel om de NIS in lijn te houden met het altijd veranderende cyberbeveiliging landschap. Bovendien verbreedt het de scope van de richtlijn, naar nieuwe sectoren en entiteiten. Om te checken of jouw organisatie binnen deze nieuwe scope valt kun je onze vorige blog lezen over de wet beveiliging netwerk- en informatiesystemen.

NIS2 leidt tot een meldingsplicht

De NIS2 certificering vereist dat significante incidenten gerapporteerd moeten worden, door zowel essentiële als belangrijke bedrijven en de directe toeleveringsketen hiervan. Significante incidenten worden gedefinieerd als incidenten die ernstige operationele verstoring van diensten of financiële verliezen voor de organisatie veroorzaken, net als aanzienlijke materiële of immateriële schade kunnen veroorzaken die andere personen of entiteiten treft. Er zijn twee verschillende soorten meldingen die een organisatie kan doen.

 

voordelen van een ciso

Het verschil tussen een vroegtijdige waarschuwing en een incidentmelding:

  • Een vroegtijdige waarschuwing is een melding die binnen 24 uur na het ontdekken van een incident moet worden gedaan bij de bevoegde autoriteit en het CERT (Computer Emergency Response Team) van de betrokken lidstaten. Het doel van een vroegtijdige waarschuwing is om de autoriteiten op de hoogte te stellen van het incident en om de nodige acties te ondernemen om de situatie te beoordelen en te verhelpen.
  • Een incidentmelding is een melding die na de vroegtijdige waarschuwing moet worden gedaan bij de bevoegde autoriteit en het CERT van de betrokken lidstaten. Het doel van een incidentmelding is om de autoriteiten te informeren over de afhandeling van het incident en om de nodige acties te ondernemen om de cyberbeveiliging te verbeteren.

 

Op dit moment is er maar 1 proces voor het melden van incidenten. Bij het ontdekken van een kwetsbaarheid of incident moet dit gemeld worden via de website van het Nationaal Cyber Security Centrum. Op de website in het Coordinated Vulnerability Disclosure formulier, ookwel CVD formulier genoemd, moet de volgende informatie ingevuld worden:

  • Voornaam, achternaam, e-mail, telefoonnummer;​
  • Stapsgewijze uitleg van de kwetsbaarheid;​
  • Leg uit waarom de gevonden kwetsbaarheid het melden waard is;​
  • Domein(en) of IP-adres(sen) waar de melding betrekking op heeft;​
  • Uw eigen public PGP-key;​
  • Ik heb het CVD-beleid gelezen en ga hiermee akkoord;​​
  • Type kwetsbaarheden:

Het alvast nadenken over een intern proces om deze gegevens te verzamelen wanneer er een incident plaats vindt is cruciaal om stress in de toekomst te vermijden. Daarnaast is het ook verstandig om alvast een proceseigenaar aan te wijzen die over voldoende kennis beschikt om dit proces aan te sturen, bijvoorbeeld de Security Officer!

In de NIS2 wordt vernoemd dat essentiële en belangrijke entiteiten aan domeinnaamregistratie moeten voldoen. De eigenaar c.q. houder van een domeinnaam moet door middel van registratie publiek toegankelijke informatie zijn. Hiermee wordt bedoeld dat eenieder kan inzien wie de eigenaar is van een domeinnaam en een ander aantal informatie punten betreffende de eigenaar zoals:

  • De naam van de organisatie;
  • De relevante sector, sub sector en soort organisatie;
  • Het adres van de hoofdvestiging van de organisatie en haar andere wettelijke vestigingen in de Europese Unie;
  • E-mailadressen, telefoonnummers en indien van toepassing, een vertegenwoordiger;
  • De lidstaten waar de organisatie diensten verleent;
  • De IP-bereiken van de organisatie.

De desbetreffende organisaties moeten dus een overzicht hebben van haar netwerk- en informatiesystemen en de locaties waar deze actief zijn. De verantwoordelijkheid om deze gegevens te delen met de bevoegde nationale autoriteit ligt bij de organisatie zelf. Als dit niet tijdig (Voor 17-10-2024) gebeurt loop je als organisatie risico op een boete en mogelijk andere sancties.

Wat kun je nu al doen voor jouw organisatie?

Tot slot, de impact van de volledige implementatie voor de NIS2 is nog onduidelijk omdat de nationale wetgeving nog niet bekend is. De wetgeving dient vanaf 17 Oktober 2024 bekend en ingevoerd te zijn. Er zijn echter al een paar procedures die organisaties NU kunnen uitvoeren/implementeren om tijd te besparen in de toekomst. Ten eerste moet er een meldingsprocedure worden gebruikt om kwetsbaarheiden te melden bij de (inter)nationale autoriteiten. Daarnaast moeten organisaties ook informatie betreffende hun domeinnaam aanleveren bij de autoriteiten, waarna deze informatie publiekelijk toegankelijk wordt. Naast de procedures zelf uitschrijven is het ook belangrijk om alvast een proceseigenaar toe te wijzen, hierdoor wordt het juist en tijdig rapporten en implementeren gewaarborgd.  Bij het niet juist / tijdig voldoen aan deze processen kunnen er namelijk boetes, of zelfs schorsing van het bestuur als straf opgelegd worden. Als er vragen zijn over het implementeren van deze processen en zelfs andere zaken rondom NIS 2, staan de professionals van BMGRIP altijd voor jou klaar! Neem contact op.

Blog geschreven door Chip Snepvangers Business Consultant

Deel dit bericht:

ISO 27001 & Annex A

ISO 27001 Annex A bevat 93 beheersmaatregelen voor informatiebeveiliging, onderverdeeld in organisatorische, mensgerichte, fysieke en technologische m...

Klaar om je security, privacy en continuity
binnen jouw organisatie te verbeteren?

Heb je een vraag over onze diensten?

Wij bellen je graag binnen 24 uur terug. Neem gerust en geheel vrijblijvend contact met ons op!