De NIS2-richtlijn: een praktisch overzicht voor organisaties

De NIS2-richtlijn is het vernieuwde cyberbeveiligingskader van de Europese Unie. Het doel ervan is de cyberweerbaarheid in alle kritieke sectoren te verbeteren. In navolging van haar voorganger, de richtlijn inzake netwerk- en informatiesystemen (NIS), breidt NIS2 het toepassingsgebied aanzienlijk uit tot sectoren zoals de gezondheidszorg, de verwerkende industrie, de energiesector, het vervoer en managed services. NIS2 stelt ook strengere cyberbeveiligingseisen in, voorziet in directe aansprakelijkheid voor het hoger management en legt vaste tijdlijnen vast voor het melden van incidenten. Organisaties die binnen de EU actief zijn, moeten deze verplichtingen niet alleen begrijpen, maar ook concrete veiligheidsmaatregelen implementeren om aan de nalevingsvereisten te voldoen.

Belangrijkste bevindingen

• NIS2 is het vernieuwde cyberbeveiligingskader van de EU dat strengere vereisten introduceert, een bredere sectorale dekking biedt en de verantwoordingsplicht van leidinggevenden verhogen voor organisaties die in de EU actief zijn.
• NIS2 heeft de oorspronkelijke NIS-richtlijn vervangen, omdat het oorspronkelijke kader geen gelijke tred kon houden met moderne ransomware, aanvallen via de toeleveringsketen en geavanceerde cyberbedreigingen die gericht zijn op kritieke infrastructuur.
• NIS2 is vooral van toepassing op middelgrote en grote organisaties die actief zijn in de sectoren die onder de regeling vallen; sommige entiteiten moeten er echter, ongeacht hun omvang, aan voldoen vanwege het cruciale karakter van hun services.
• In artikel 21 worden de zeven belangrijkste beveiligingsmaatregelen beschreven die organisaties moeten implementeren, zoals risicomanagement, incidentrespons en beveiliging van de toeleveringsketen.
• Tot de veelvoorkomende tekortkomingen op het gebied van NIS2-naleving behoren onder meer een inconsistente handhaving van MFA, onvoldoende inzicht in leveranciers en zwak beheer van Privileged Access Management (PAM).
• De gevolgen van niet-naleving kunnen boetes tot € 10.000.000 of 2% van de wereldwijde jaarlijkse omzet (afhankelijk van wat hoger is) voor essentiële entiteiten omvatten, naast verplichte rapportageverplichtingen binnen 24 uur, 72 uur en een maand na een significant incident.

Waarom NIS2 de oorspronkelijke NIS-richtlijn heeft vervangen

De vroegere NIS-richtlijn omvatte voornamelijk traditionele kritieke infrastructuren en richtte zich op perimeterbeveiliging. Er ontbraken duidelijke rapportageverplichtingen en de uitvoering ervan verliep niet in alle EU-lidstaten op dezelfde manier, waardoor de effectiviteit ervan werd beperkt. NIS2 breidt de dekking uit over sectoren die zijn gedefinieerd in Bijlagen I en II, introduceert strengere rapportagetijden voor incidenten en legt meer verantwoordelijkheid bij het uitvoerend management, inclusief persoonlijke aansprakelijkheid in de nationale implementaties van sommige lidstaten. Deze verschuiving betekent een overgang van minimale beveiligingsvereisten naar een meer proactieve benadering van cyberweerbaarheid.

Wie is verplicht om aan NIS2 te voldoen?

NIS2 deelt organisaties in twee hoofdgroepen in: essentiële entiteiten en belangrijke entiteiten. Beide moeten voldoen aan de cyberbeveilgings- en rapportageverplichtingen van NIS2, hoewel essentiële entiteiten te maken krijgen met strenger toezicht en mogelijk zwaardere sancties.

Het NIS2 is over het algemeen van toepassing op middelgrote en grote organisaties die actief zijn in de betreffende sectoren. Volgens de EU-definitie zijn middelgrote ondernemingen, die 50 of meer werknemers hebben en een jaarlijkse omzet van meer dan € 10.000.000 – (beide criteria worden samen beschouwd), geen alternatieven. De sectoren die onder NIS2 vallen zijn divers, zoals gezondheidszorg, industrie, financiële diensten, energie, transport, water, digitale infrastructuur, ruimte en afvalbeheer.

De omvang van een organisatie bepaalt niet de reikwijdte van NIS2. Sommige entiteiten vallen onder het toepassingsgebied indien hun services als cruciaal worden beschouwd voor de maatschappelijke of economische stabiliteit. Voor organisaties die in meerdere EU-lidstaten actief zijn, is NIS2 op nationaal niveau van toepassing. De nalevingsvereisten kunnen dus variëren, afhankelijk van de wijze waarop elk land NIS2 in nationale wetgeving heeft omgezet.

7 beveiligingsmaatregelen die organisaties moeten nemen om aan de NIS2-voorschriften te voldoen

Artikel 21 van NIS2 beschrijft de cyberbeveiligingsmaatregelen die organisaties moeten implementeren. De beveiligingsmaatregelen geven grotendeels weer hoe een goed opgezet beveiligingsprogramma eruit moet zien, maar veel organisaties ondervinden problemen bij de implementatie vanwege het uitgebreide juridische jargon in de richtlijn. Hieronder volgen de zeven belangrijkste gebieden waarop het kader betrekking heeft.

1. Risicobeheer

Onder NIS2 moeten organisaties een doorlopend risicobeheerproces vaststellen, in plaats van te vertrouwen op eenmalige beoordelingen. Organisaties moeten voortdurend vaststellen waar hun beveiligingsrisico’s liggen, de potentiële schade die deze risico’s kunnen veroorzaken beoordelen en deze regelmatig aanpakken. Dit houdt in dat er regelmatig risicobeoordelingen moeten worden uitgevoerd, dat er gedocumenteerde risicobeperkingsplannen moeten worden bijgehouden en dat de activiteiten voortdurend moeten worden gemonitord om nieuwe bedreigingen op te sporen. Uiteindelijk moet iemand binnen een organisatie verantwoordelijk worden gehouden voor elk geïdentificeerd risico en voor het beperken ervan.

2. Capaciteit voor incidentrespons

NIS2 vereist dat organisaties formele procedures voor incidentrespons hanteren voordat zich een beveiligingsincident voordoet, om te voorkomen dat er tijdens een dergelijk incident chaos ontstaat. Dit houdt in dat er een gedocumenteerd plan voor Incidentrespons moet zijn met duidelijk omschreven verantwoordelijkheden, zodat er geen onduidelijkheid bestaat over wie bepaalde taken moet uitvoeren. Het testen van die plannen is net zo belangrijk als het opstellen ervan. Als er bijvoorbeeld midden in de nacht ransomware wordt gedetecteerd in een deel van het netwerk van een organisatie, kan het verschil worden gemaakt tussen het beperken van het incident en het ondervinden van een grote storing, afhankelijk van de vraag of een team het proces heeft geoefend.

3. Bedrijfscontinuïteit

NIS2 verwacht van organisaties dat ze tijdens en na cyberincidenten veerkrachtig blijven, met inbegrip van back-up- en herstelprocessen, toegankelijke gegevensopslag in geval van een systeemcompromis en de mogelijkheid om systemen binnen vastgestelde termijnen te herstellen. Een plan voor rampenherstel moet duidelijke hersteltijdsdoelstellingen definiëren en aangeven hoe lang de organisatie realistisch gezien een operationele verstoring kan verduren. Door regelmatig veerkrachttests uit te voeren, wordt gewaarborgd dat deze plannen in de praktijk werken. Waar dit vanuit operationeel oogpunt wenselijk is, biedt redundantie in kritieke systemen en infrastructuur een extra beschermingslaag. Het beveiligen van aanmeldingsgegevens en toegang tot kritieke systemen staat centraal bij bedrijfscontinuïteit, aangezien herstel aanzienlijk moeilijker wordt wanneer de sleutels tot de infrastructuur tot de gecompromitteerde bedrijfsmiddelen behoren.

4. Beveiliging van de toeleveringsketen

NIS2 legt een sterke nadruk op risicobeheer door externe partijen. NIS2 maakt duidelijk dat organisaties verantwoordelijk zijn voor het beheer van risico’s die door leveranciers, serviceproviders en toeleveranciers worden geïntroduceerd. Voor een optimale transparantie moeten organisaties weten welke externe partijen toegang hebben tot hun systemen, welk toegangsniveau zij hebben en of leveranciers passende beveiligingsmaatregelen hanteren. Risicobeoordelingen van leveranciers, toegangsbeoordelingen en voortdurende monitoring dienen standaard operationele processen te worden. Uit recente aanvallen op de toeleveringsketen is gebleken dat blootstelling aan risico’s door externe partijen al snel een ernstig risico voor de organisatie kan vormen.

5. Toegangscontrole en identiteitsbeheer

Organisaties moeten kunnen bepalen wie er toegang heeft tot hun systemen en wat zij met die toegang kunnen doen om het aanvalsoppervlak te verkleinen. Als onderdeel van de belangrijkste vereisten van NIS2 dient het principe van minimale privileges (PoLP) als leidraad voor de wijze waarop toegang wordt verleend, waarbij gebruikers en systemen uitsluitend toegang krijgen tot wat nodig is. Op rollen gebaseerde toegangscontrole (RBAC) biedt de structuur om dit consequent en op grote schaal af te dwingen. Het beheer van de levenscyclus van gebruikers helpt om slapende of verweesde accounts aan te pakken die in de toekomst kunnen leiden tot beveiligingsrisico’s. Dit is vooral belangrijk voor geprivilegieerde accounts, aangezien beheerders en serviceaccounts met geprivilegieerde toegang waardevolle doelwitten zijn. Door PAM te combineren met strenge beveiliging van aanmeldingsgegevens binnen de gehele organisatie, worden deze accounts beveiligd, gemonitord en geauditeerd.

6. Versleuteling en cryptografie

Zelfs de best voorbereide organisaties kunnen te maken krijgen met een datalek. Versleuteling speelt een rol bij het bepalen van de omvang van de schade die een dergelijk lek daadwerkelijk veroorzaakt. NIS2 verwacht van organisaties dat zij zowel opgeslagen als verzonden gegevens versleutelen, aanmeldingsgegevens en gevoelige informatie beschermen en gebruikmaken van veilige cryptografische standaarden. NIS2 schrijft geen specifieke encryptiearchitectuur voor. Zero-knowledge encryptie gaat echter verder dan de basisvereisten en kan extra bescherming bieden aan organisaties die gevoelige aanmeldingsgegevens en gegevens verwerken. In een zero-knowledge-omgeving worden gegevens op apparaatniveau versleuteld en ontcijfers, wat betekent dat zelfs de serviceprovider er geen toegang toe heeft.

7. MFA en veilige authenticatie

Aangezien gecompromitteerde aanmeldingsgegevens een van de meest voorkomende toegangspunten zijn voor cybercriminelen, vereist NIS2 dat organisaties sterke authenticatiecontroles implementeren voor alle systemen en gebruikers. Dit omvat het afdwingen van multi-factor-authenticatie (MFA), waarmee een extra verificatielaag wordt toegevoegd die de impact van gestolen aanmeldingsgegevens beperkt. Organisaties zouden waar mogelijk phishingbestendige wachtwoordloze authenticatiemethoden moeten inschakelen om het risico te elimineren dat gebruikers worden gemanipuleerd om aanmeldingsgegevens te delen of prompts goed te keuren. Door deze beveiligingsmaatregelen wordt het voor cybercriminelen veel moeilijker om ongeoorloofde toegang te verkrijgen en wordt de impact van gestolen aanmeldingsgegevens aanzienlijk beperkt.

Organisaties die zoeken naar praktische volgende stappen, kunnen onze gids bekijken over hoe organisaties zich effectief kunnen voorbereiden op NIS2.

Veelvoorkomende tekortkomingen van organisaties op het gebied van NIS2-naleving

De meeste organisaties hebben al enkele beveiligingsmaatregelen ingevoerd, maar operationele zwaktes verhinderen vaak volledige naleving, vooral met de NIS2-richtlijn. Als organisaties de richtlijn niet begrijpen en de voorschriften ervan niet naleven, kan dit gevolgen hebben.

Onvolledige handhaving van MFA

Veel organisaties passen MFA op inconsistente wijze toe. Hoewel gebruikersaccounts wellicht beveiligd zijn, kunnen er nog steeds kwetsbaarheden bestaan in verouderde systemen of bij VPN-toegang die nog volledig afhankelijk zijn van traditionele wachtwoorden. Gedeeltelijke MFA-implementatie zorgt voor kwetsbare toegangspunten voor cybercriminelen en ondermijnt bredere beveiligingsinspanningen door onbeveiligde geprivilegieerde of externe toegang.

Slechte zichtbaarheid van leveranciers

De vereisten voor de toeleveringsketen van NIS2 onthullen voor veel organisaties een ongelukkige waarheid: ze hebben geen duidelijk inzicht in wie toegang heeft tot hun omgeving of welke risico’s externe partijen met zich meebrengen. Leverancierstoegang bevat vaak te hoge machtigingen, maar wordt zelden beoordeeld. Zonder volledige zichtbaarheid kunnen organisaties de risico’s van derden onder NIS2 niet effectief beheren.

Zwakke geprivilegieerde toegangscontrole

Geprivilegieerde accounts behoren tot de activa met het hoogste risico binnen elke organisatie, maar de beveiligingsmaatregelen rondom deze accounts zijn vaak zeer zwak. Gedeelde administratieve aanmeldingsgegevens en permanente privileges blijven gebruikelijk, maar vergroten het aanvalsoppervlak en het risico op misbruik van aanmeldingsgegevens. NIS2 verwacht strengere beheersmaatregelen rond geprivilegieerde toegang, sessiemonitoring en audits.

Tijdlijnen voor het melden van incidenten in NIS2

NIS2 introduceert gestructureerde rapportageverplichtingen na aanzienlijke cyberbeveiligingsincidenten. Organisaties dienen een vast, meerfasig proces te volgen vanaf het moment dat zij op de hoogte raken van een ernstig incident:

1. Binnen 24 uur: dien een vroegtijdige waarschuwing in bij de bevoegde nationale autoriteiten waarin wordt bevestigd dat er een ernstig incident gaande is.
2. Binnen 72 uur: geef een vollediger beeld van het incident, met informatie over de aard en de gevolgen ervan.
3. Binnen één maand: dien een eindrapport in waarin een volledig overzicht wordt gegeven van wat er is gebeurd, hoe hiermee is omgegaan en welke maatregelen er worden genomen om herhaling te voorkomen.

Om deze termijnen te halen, moeten organisaties beveiligingsincidenten direct bij het optreden ervan monitoren en registreren, zodat ze achteraf niet moeizaam een nauwkeurig tijdschema van de gebeurtenissen hoeven op te stellen. Uiteindelijk vereist naleving van de NIS2-richtlijn dat organisaties volwassen cyberbeveiligingspraktijken invoeren, hun operationele veerkracht vergroten en volledig inzicht behouden in alle gebruikers en systemen om beveiligingsrisico’s te beperken.

Hoe Keeper kan helpen bij het naleven van NIS2-naleving

Om te voldoen aan de NIS2-normen is een betrouwbare beveiligingsinfrastructuur nodig die gedetailleerde toegangscontroles kan afdwingen, aanmeldingsgegevens kan beschermen en volledig inzicht biedt om risico’s op grote schaal te beheren. Het zero-knowledge identiteitsbeveiligingsplatform van Keeper ondersteunt organisaties door meerdere beveiligingsoplossingen te consolideren, waaronder PAM, wachtwoordbeheer, geheimenbeheer, eindpuntprivilegebeheer en beveiligde externe toegang. Om aan een aantal van de strengste vereisten van NIS2 te voldoen, biedt Keeper geavanceerde functies zoals RBAC, verplichte MFA, audit van aanmeldingsgegevens, sessiemonitoring, en zero-trust beveiliging. Of u nu net begint met het implementeren van NIS2-maatregelen of uw bestaande beveiligingsniveau wilt verbeteren: met Keeper kan uw organisatie vol vertrouwen voldoen aan de NIS2-vereisten.

Begin vandaag nog met uw gratis Keeper-proefperiode en versterk de paraatheid van uw organisatie om aan de NIS2-vereisten te voldoen