KMO-gids voor NIS2-regels voor cyberbeveiliging in de EU
Cyberbeveiliging in de EU is op weg om een wettelijke verplichting te worden. Deze week heeft België de wetgeving opgesteld die de cybersecurity-eisen moeten omzetten in wetgeving op basis van de NIS2-richtlijn. Net als veiligheidsgordels in auto’s, zijn inspanningen op het gebied van cyberbeveiliging op weg om verplichte voorzorgsmaatregelen te worden voor grote en kleine bedrijven. In deze blog leggen we uit waarom NIS2 belangrijk is voor het MKB.
1. Wat is NIS2 en waarom is het belangrijk voor KMO’s?
2. De businesscase voor het MKB om NIS2 te omarmen
3. Hoe kunt u hieraan voldoen?
1. Wat is NIS2 en waarom is het belangrijk voor KMO’s?
– NIS2 is de update van de EU-richtlijn voor netwerk- en informatiebeveiliging (NIS). Het is het eerste stuk EU-brede wetgeving op het gebied van cyberbeveiliging. NIS2 is bedoeld dat bedrijven vanaf oktober 2024, in afwachting van goedkeuring door nationale overheden, hun informatiebeveiliging serieus nemen. Bedrijven zullen moeten aantonen dat hun IT en infrastructuur veilig en weerbaar zijn tegen de online dreigingsomgeving. De scope is 30 industrieën die ‘essentieel’ en ‘belangrijk’ zijn en de middelgrote en grote bedrijven daarbinnen.
– NIS2 is belangrijk voor het MKB, want hoewel het in eerste instantie gericht is op grotere essentiële en belangrijke industrieën, infrastructuur en grotere bedrijven, zullen hun toeleveringsketens ook op elkaar afgestemd beginnen te raken. Dit omdat grotere bedrijven verplicht zijn om de cybersecurity van hun leveranciers, waaronder het MKB, te controleren.
– De belangrijkste voordelen voor de focus van het MKB op NIS2 zijn dat het cyberrisico wordt verminderd door te zorgen voor een betere controle van de cyberbeveiliging. Over het algemeen leiden verbeteringen in de beveiliging tot algehele kwaliteitsverbeteringen.
– De kosten voor het MKB om naleving te waarborgen, zijn gebaseerd op basisbeleid, processen en een basislijn voor continue monitoring van kwetsbaarheden en beveiligingscontroles.
– De kosten nemen toe met het risico wanneer mensen, technologie en processen gaten achterlaten voor cybercriminelen.
In detail: EU NIS2 Cybersecurity risicobeheersmaatregelen die moeten worden overwogen, omvatten
– Beleid inzake risicoanalyse en beveiliging van informatiesystemen;
– Afhandeling van incidenten;
– Bedrijfscontinuïteit, zoals back-up management en disaster recovery, en crisismanagement;
– Beveiliging van de toeleveringsketen, met inbegrip van veiligheidsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar directe leveranciers of dienstverleners;
– Beveiliging bij de verwerving, ontwikkeling en het onderhoud van netwerk- en informatiesystemen, met inbegrip van de behandeling en openbaarmaking van kwetsbaarheden;
– Beleid en procedures om de doeltreffendheid van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
– Basispraktijken op het gebied van cyberhygiëne en training op het gebied van cyberbeveiliging;
– Beleid en procedures met betrekking tot het gebruik van cryptografie en, indien van toepassing, encryptie;
– Beveiliging van personeelszaken, toegangscontrolebeleid en vermogensbeheer;
– Het gebruik van oplossingen voor multifactorauthenticatie of continue authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit, indien van toepassing.
2. De businesscase voor NIS2 voor het MKB
Voordelen
– Het grootste voordeel van NIS2 is, opzettelijk, de veiligheid – van de reputatie, inkomsten en continuïteit van de middelen van een bedrijf. Ervoor zorgen dat bedrijven het essentiële hebben gedaan om elke dag veilig te blijven voor mensen, IT en processen. Bedrijven met een lage beveiliging lopen het risico failliet te gaan na een ernstige cyberaanval.
– Naleving zal toegang bieden tot meer zaken doen in de EU. Naarmate bedrijven hun toeleveringsketens herzien, kunnen KMO’s die transparant zijn over hun normen meer succes verwachten. (In het Verenigd Koninkrijk is ‘Cyber Essentials’ een succesvol programma geweest omdat alle overheidscontracten een aanbesteding vereisen)
– Compliance zal in de toekomst voor veel bedrijven essentieel worden. Sommige grotere bedrijven zijn al begonnen met het opnemen van deze vereiste in hun inkoopbeleid, waarbij leveranciers moeten aantonen dat ze over de basisbeveiliging beschikken (zie Cyber Trust in Oostenrijk).
– Merkopbouw – zoals hierboven zijn Cyber Fundamentals nu een erkende badge voor online kwaliteit en vertrouwen van bedrijven die laten zien dat ze hun cyberrisico onder controle hebben.
– Daarnaast kunnen IT Auditor experts, waaronder Charde Janse van Vuuren van Schuiteman in Nederland, de overlap zien in het werk voor NIS2 en ISA315 standaarden .
Kosten
– Nalevingsrisico – het niet afstemmen op toeleveringsketens kan bedrijven in gevaar brengen, vooral bij grotere bedrijven die moeten voldoen aan NIS 2
– Boetes – De bedrijven die aan de regels moeten voldoen, maar dat niet doen, worden geconfronteerd met miljoenen euro’s aan boetes. Voorlopig zijn dit niet de meeste KMO’s.
Kansen
-Overlappen
o Werkzaamheden voor ISA315 kunnen in sommige gevallen voldoen aan de NIS2-vereisten
o Naleving van Cyber Fundamentals omvat ook enkele (niet alle) vereisten
– Een overzichtelijk dashboard van Lupasafe laat je zien waar je voldoet aan de belangrijkste eisen voor NIS 2, waaronder netwerkbeveiliging, kwetsbaarheden, cyberhygiëne en training, asset management, multi-factor authenticatie.
– Een grondige veiligheidsbeoordeling voor het bedrijf en zelfs de toeleveringsketen met het EU-project ‘CYSSME’ voor cyberbeveiliging voor kmo’s. Dit accepteert momenteel aanvragen voor beveiligingsondersteuning van MKB-bedrijven binnen de EU, waardoor maximaal € 20.000 per bedrijf aan cyberbeveiligingsondersteuning kan worden verleend. Zie www.cyssme.eu .
3. Hoe kunt u hieraan voldoen?
Het dashboard van Lupasafe is een eenvoudige manier om te beginnen met uw NIS2-compliance. Het toont al uw kwetsbaarheden op het gebied van mensen, IT en processen. Dit betekent dat u snel elk punt in uw bedrijf kunt zien dat risico loopt, of het nu gaat om mensen die vanuit huis werken, cloudsoftware die niet is bijgewerkt, gecompromitteerde wachtwoorden of phishing-risico’s.
Specifieke normen om op af te stemmen worden uitgerold door EU-landen.
Nederland heeft onlangs deze NIS2-controlelijst gelanceerd
Boek een demo van Lupasafe om te zien hoe ons Dashboard u in beeld brengt en helpt bij het beheren van NIS2, voor u, uw klanten en toeleveringsketens.
Loop geen boetes op zoals de 1/3e van grote bedrijven die er nog niet klaar voor zijn
Appendix
Aanvullend materiaal ter ondersteuning van de implementatie van NIS2-controles
- NIS2-richtlijn Oorspronkelijke EU-richtlijn over NIS 2
- Snelstartgids: NIST Cybersecurity Framework voor kleine bedrijven
- Afhandeling van incidenten https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf
- Beveiligingscontroles ISO/IEC 27002:2013 Gedragscode voor informatiebeveiligingscontroles
- Cryptografisch beleid https://iso-docs.com/products/isms-cryptographic-policy
- Richtlijnen voor bedrijfscontinuïteit https://www.thebci.org/certification-training/good-practice-guidelines.html
- Risico’s in de toeleveringsketen https://csrc.nist.gov/Projects/cyber-supply-chain-risk-management/publications
