Chip Snepvangers – Business Consultant
In 2016 introduceerde de EU een nieuwe richtlijn betreffende cybersecurity, Network & Information Systems Directive (NIS), waarvan de doelstelling is om de kritieke infrastructuren en economieën binnen de EU te beschermen. De NIS2, die in 2022 is aangenomen, heeft als doel om de NIS in lijn te houden met het altijd veranderende cyberbeveiliging landschap. Bovendien verbreedt het de scope van de richtlijn, naar nieuwe sectoren en entiteiten. Om te checken of jouw organisatie binnen deze nieuwe scope valt kun je onze vorige blog lezen over de wet beveiliging netwerk- en informatiesystemen.
De NIS2 certificering vereist dat significante incidenten gerapporteerd moeten worden, door zowel essentiële als belangrijke bedrijven en de directe toeleveringsketen hiervan. Significante incidenten worden gedefinieerd als incidenten die ernstige operationele verstoring van diensten of financiële verliezen voor de organisatie veroorzaken, net als aanzienlijke materiële of immateriële schade kunnen veroorzaken die andere personen of entiteiten treft. Er zijn twee verschillende soorten meldingen die een organisatie kan doen.
Het verschil tussen een vroegtijdige waarschuwing en een incidentmelding:
Op dit moment is er maar 1 proces voor het melden van incidenten. Bij het ontdekken van een kwetsbaarheid of incident moet dit gemeld worden via de website van het Nationaal Cyber Security Centrum. Op de website in het Coordinated Vulnerability Disclosure formulier, ookwel CVD formulier genoemd, moet de volgende informatie ingevuld worden:
Het alvast nadenken over een intern proces om deze gegevens te verzamelen wanneer er een incident plaats vindt is cruciaal om stress in de toekomst te vermijden. Daarnaast is het ook verstandig om alvast een proceseigenaar aan te wijzen die over voldoende kennis beschikt om dit proces aan te sturen, bijvoorbeeld de Security Officer!
In de NIS2 wordt vernoemd dat essentiële en belangrijke entiteiten aan domeinnaamregistratie moeten voldoen. De eigenaar c.q. houder van een domeinnaam moet door middel van registratie publiek toegankelijke informatie zijn. Hiermee wordt bedoeld dat eenieder kan inzien wie de eigenaar is van een domeinnaam en een ander aantal informatie punten betreffende de eigenaar zoals:
De desbetreffende organisaties moeten dus een overzicht hebben van haar netwerk- en informatiesystemen en de locaties waar deze actief zijn. De verantwoordelijkheid om deze gegevens te delen met de bevoegde nationale autoriteit ligt bij de organisatie zelf. Als dit niet tijdig (Voor 17-10-2024) gebeurt loop je als organisatie risico op een boete en mogelijk andere sancties.
Tot slot, de impact van de volledige implementatie voor de NIS2 is nog onduidelijk omdat de nationale wetgeving nog niet bekend is. De wetgeving dient vanaf 17 Oktober 2024 bekend en ingevoerd te zijn. Er zijn echter al een paar procedures die organisaties NU kunnen uitvoeren/implementeren om tijd te besparen in de toekomst. Ten eerste moet er een meldingsprocedure worden gebruikt om kwetsbaarheiden te melden bij de (inter)nationale autoriteiten. Daarnaast moeten organisaties ook informatie betreffende hun domeinnaam aanleveren bij de autoriteiten, waarna deze informatie publiekelijk toegankelijk wordt. Naast de procedures zelf uitschrijven is het ook belangrijk om alvast een proceseigenaar toe te wijzen, hierdoor wordt het juist en tijdig rapporten en implementeren gewaarborgd. Bij het niet juist / tijdig voldoen aan deze processen kunnen er namelijk boetes, of zelfs schorsing van het bestuur als straf opgelegd worden. Als er vragen zijn over het implementeren van deze processen en zelfs andere zaken rondom NIS 2, staan de professionals van BMGRIP altijd voor jou klaar! Neem contact op.
Blog geschreven door Chip Snepvangers Business Consultant