Advertentie
We spraken met Bojan Zdrnja over dit onderwerp. Hij is als CTO actief bij cyberbeveiligingsorganisatie SANS. Het is geen nieuws dat technologie steeds belangrijker wordt, dus heeft ook de wetgever er aandacht voor gekregen. In Europa wordt op 17 oktober de NIS2-wetgeving van kracht. Hij treft bedrijven die essentiële diensten leveren voor de samenleving. De wetgeving is gericht op twee soorten organisaties: ‘essentiële’ en ‘belangrijke’. De eerste soort zijn bijvoorbeeld water- en energieleveranciers. Onder de tweede soort valt onder andere het postbedrijf.
In het kort betekent de nieuwe wet dat organisaties IT-beveiliging serieus moeten gaan nemen. Tot nu toe hebben Hongarije, Kroatië en België de NIS2-richtlijnen al in de nationale wetgeving opgenomen. Uiterlijk maart volgend jaar moeten de andere landen in Europa volgen, waaronder uiteraard Nederland.
Zdrnja: “De nieuwe informatiebeveiligingswetgeving lijkt een beetje op de GDPR-privacywetgeving die we in Nederland als AVG kennen. Boetes voor organisaties die zich niet aan de NIS2-regelgeving houden kunnen enorm oplopen. Denk aan percentages van de omzet. Bijzonder is dat de boetes niet alleen zijn gericht aan het bedrijf, maar ook persoonlijk aan het management. Een boete kan een bedrijf dus op verschillende fronten raken.
Voor bedrijven en organisaties die hun informatiebeveiliging goed voor elkaar hebben en voldoen aan ISO 27001 zijn de stappen die moeten worden gezet om aan NIS2 te voldoen niet zo groot. Toch betekent dit dat het niet alleen op de vloer van de systeembeheerafdeling onderwerp van gesprek moet zijn, maar nog meer van belang wordt voor het management. Zij moeten ervoor zorgen dat binnen het bedrijf de state-of-the-art tools beschikbaar zijn en ook worden toegepast.
Behalve dat de juiste tools in huis moeten zijn en de belangrijkste standaarden voor beveiliging moeten worden nageleefd, denk hierbij aan het toepassen van multifactorauthenticatie, moeten organisaties ook worden gecontroleerd door een externe assessor. Die moet periodiek de beveiligingsmaatregelen checken en hier verslag over leggen.
Daarnaast worden er zware eisen gesteld aan de rapportages. Binnen 24 uur moet er melding worden gedaan van een informatielek, binnen 48 uur moet er uitgebreider over worden gerapporteerd en in een maand moet er een volledig verslag zijn.”
Op technisch vlak is de wetgeving wat vaag. Hij noemt de technieken niet bij naam en rugnummer. Dat heeft er vooral ook mee te maken dat informatiebeveiliging en dreigingen zich ontwikkelen. NIS2 is bovenal een richtlijn die de lat hoger gaat leggen en uiteindelijk moet leiden tot betere beveiliging van onze gegevens, en tot betrouwbare IT-systemen.