Netwerk- en Informatiebeveiligingsrichtlijn
NIS2 (Network and Information Security directive) is de tweede versie van de ‘Netwerk- en Informatiebeveiligingsrichtlijn’ van de Europese Unie, wordt geïmplementeerd in de Cyberbeveiligingswet. Deze richtlijn is ontworpen om de cyberveiligheid van kritieke infrastructuren en essentiële diensten te verbeteren. NIS2 heeft als voornaamste doel om de weerbaarheid van netwerken en informatiesystemen in de EU te versterken. Veel vitale diensten (zoals bijvoorbeeld de energiesector, transport en de gezondheidszorg) zijn afhankelijk van deze IT-systemen, een betere beveiliging is dan ook noodzakelijk om ervoor te zorgen dat deze diensten niet in gevaar komen.
Sterke toename van cyberdreigingen
De afgelopen jaren is het gevaar van cyberdreigingen sterk toegenomen. Meer processen zijn nu digitaal, waardoor er nieuwe kwetsbaarheden ontstaan. Tevens zijn er meer goed georganiseerde cybercriminelen die steeds geavanceerdere aanvallen uitvoeren. Moderne netwerken zijn complexer, waardoor het moeilijker is geworden om alle mogelijke ingangen voor cyberaanvallen adequaat te beveiligen. Ook de toename van IoT-apparaten zorgt ervoor dat er veel meer toegangspunten zijn voor aanvallen. Bedrijfs- en persoonlijke gegevens zijn waardevol en daarom een aantrekkelijk doelwit voor hackers. De NIS2-richtlijn moet het voor hackers moeilijker maken om succesvolle aanvallen op kritieke infrastructuur uit te voeren.
Toegenomen geopolitieke spanningen
De toegenomen geopolitieke spanningen in de wereld (zoals de opkomst van China als nieuwe wereldmacht, de oorlog in Oekraïne en de Israëlische inval in Gaza) hebben ervoor gezorgd dat het gevaar van cyberaanvallen de afgelopen jaren sterk is toegenomen. Landen gebruiken de aanvallen steeds vaker als wapen in conflicten en om politieke en economische doelen te bereiken. Wanneer cyberaanvallen worden gebruikt om kritieke infrastructuren (zoals elektriciteitscentrales, drinkwaterzuiveringsinstallaties, banken, voedselproductie of medische instellingen) van rivaliserende landen te verstoren of uit te schakelen, dan kan dat zeer ingrijpende gevolgen hebben. Zonder energie valt immers alles stil, schoon drinkwater is cruciaal om te overleven en ook ziekenhuizen moeten altijd operationeel zijn om levens te reden.
Bedreiging van de nationale veiligheid
Deze sectoren zijn de ruggengraat van onze samenleving. Een succesvolle cyberaanval op een van deze vitale diensten kan ernstige gevolgen hebben. Zo kunnen we niet alleen worden getroffen door langdurige stroomstoringen, een lam gelegde gezondheidszorg, economische verliezen, maar ook door bedreigingen die onze nationale veiligheid en de veiligheid in heel Europa in gevaar brengen. Daarom is het van belang dat deze sectoren goed beveiligd zijn tegen cyberdreigingen. De Netwerk- en Informatiebeveiligingsrichtlijn van de Europese Unie (NIS2) draagt daaraan bij.
Rusland en China
Rusland is een land dat vaak wordt genoemd in verband met cyberaanvallen op andere landen. Zo werden de Russen beschuldigd van manipulatie van de Amerikaanse presidentsverkiezingen in 2016 en zouden ze zich schuldig hebben gemaakt aan grootschalige cyberaanvallen op buitenlandse infrastructuren. Ook China staat bekend om cyberaanvallen die meestal gericht zijn op spionage en het stelen van intellectuele eigendommen. De Chinezen richten zich vaak op technologiebedrijven en overheidsinstellingen wereldwijd.
Noord-Korea
De Noord-Koreanen voeren doorgaans cyberaanvallen uit om financiële middelen te verkrijgen. Zo werd het gesloten land verantwoordelijk gehouden voor grootschalige aanvallen op westerse banken. Ook werd Noord-Korea ervan verdacht achter de WannaCry-ransomware-aanval (die in het voorjaar van 2017 werd uitgevoerd) te zitten. Bij deze cyberaanval werden wereldwijd belangrijke digitale systemen geïnfecteerd, waaronder ook kritieke infrastructuren zoals ziekenhuizen. Als gevolg van deze aanval werden ziekenhuizen in het Verenigd Koninkrijk gedwongen om operaties te annuleren en patiënten te verplaatsen. De WannaCry-aanval veroorzaakte wereldwijd miljarden dollars aan schade.
Iran en de Verenigde Staten
Iran voert vooral cyberaanvallen uit op energiebedrijven, financiële instellingen en overheidsinstanties. De Iraniërs gebruiken cyberaanvallen ook als vergelding voor geopolitieke sancties en druk. En hoewel de Verenigde Staten vaak doelwit zijn, wordt ook dat land beschuldigd van het uitvoeren van cyberaanvallen, zoals de ‘Stuxnet-aanval’ in 2010 op Iraanse nucleaire installaties. Stuxnet was een complexe worm die speciaal gericht was op het beschadigen van centrifuges voor het verrijken van uranium. Door de Stuxnet-aanval werd het Iraanse nucleaire programma aanzienlijk vertraagd. Deze worm maakte duidelijk hoe gevaarlijk en effectief cyberaanvallen kunnen zijn, wanneer ze worden ingezet tegen kritieke, fysieke infrastructuur.
Opvolger van de NIS-richtlijn
NIS2 is de opvolger van de NIS-richtlijn die in 2016 werd ingevoerd. De NIS-richtlijn richt zich op organisaties die essentiële diensten leveren, zoals energiebedrijven, banken en ziekenhuizen. Ook digitale dienstverleners, zoals online marktplaatsen en zoekmachines, vallen onder de NIS-richtlijn. Organisaties moeten passende technische en organisatorische maatregelen nemen om hun netwerken en informatiesystemen optimaal te beveiligen. Zo moeten organisaties ernstige beveiligingsincidenten direct melden aan de nationale autoriteiten, zodat sneller kan worden gereageerd op cyberdreigingen en de impact van incidenten kan worden beperkt.
Betere samenwerking tussen EU-landen
Alle EU-lidstaten moeten een nationale strategie voor de beveiliging van hun netwerk- en informatiesystemen opstellen. Dit omvat onder meer het aanwijzen van bevoegde autoriteiten en contactpunten voor samenwerking. De NIS-richtlijn bevordert dus de samenwerking tussen EU-landen op het gebied van cyberveiligheid, waardoor informatie over veiligheid en best practices efficiënter kunnen worden gedeeld. Bovendien kan er gezamenlijk worden opgetreden tegen grensoverschrijdende digitale dreigingen. Door strengere beveiligingseisen en betere internationale samenwerking kunnen we ons beter beschermen tegen cyberaanvallen, waardoor de vitale diensten (zoals de stroomvoorziening en de gezondheidszorg) veilig blijven.
Veiliger en sterker digitaal Europa
Door de NIS-richtlijn na te leven, kunnen organisaties bijdragen aan een veiliger en sterker digitaal Europa. NIS2 gaat nog een stapje verder en heeft een breder toepassingsgebied. De NIS2-richtlijn geldt voor meer sectoren dan de oorspronkelijke NIS-richtlijn en omvat nu ook digitale diensten, zoals bijvoorbeeld cloud computing en datacenters. Bovendien moeten organisaties voldoen aan strengere eisen voor risicobeheer en cyberbeveiliging, zoals bijvoorbeeld incidentenbeheer, continuïteitsplanning en de beveiliging van toeleveringsketens.
Boetes
De NIS2-richtlijn schrijft voor dat organisaties beveiligingsincidenten onmiddellijk moeten melden aan de nationale autoriteiten, om snel in te kunnen grijpen en erger te voorkomen. De nationale autoriteiten krijgen op hun beurt meer bevoegdheden om toezicht te houden op de naleving van de richtlijn. Ze kunnen vervolgens boetes opleggen aan bedrijven die de regels overtreden.
Strengere technische en organisatorische maatregelen
Van bedrijven wordt verwacht dat ze strengere technische en organisatorische maatregelen treffen om de beveiliging van hun netwerken en informatiesystemen te verbeteren. Zo moeten ze bijvoorbeeld plannen opstellen om de continuïteit van hun (kritieke) diensten te waarborgen bij cyberincidenten, en voorbereid zijn op snelle herstelacties en minimale onderbrekingen. Organisaties moeten ernstige beveiligingsincidenten binnen 24 uur melden aan de nationale autoriteiten. Door een snelle melding en respons kan de schade mogelijk worden beperkt en kunnen eventuele verdere cyberdreigingen direct worden gestopt.
Intensievere samenwerking
NIS2 beoogt een intensievere samenwerking en informatie-uitwisseling tussen bedrijven en nationale en EU-autoriteiten, zodat informatie over cyberdreigingen en -incidenten sneller kan worden gedeeld. Organisaties moeten regelmatige audits uitvoeren en rapportages indienen over de cyberveiligheidsmaatregelen die ze getroffen hebben en de incidenten die zich hebben voorgedaan. Daarnaast moeten bedrijven hun personeel trainen in cyberveiligheidsbewustzijn en cyberveiligheidspraktijken, waardoor menselijke fouten kunnen worden verminderd en de algehele veiligheid binnen kritieke sectoren wordt vergroot. Volgens de NIS2-richtlijn moeten organisaties duidelijke beleidslijnen en procedures opstellen voor het beheren van de cyberrisico’s.
Hogere standaard van cyberveiligheid
Het naleven van de NIS2-richtlijn helpt bedrijven om beter voorbereid te zijn op cyberdreigingen en -incidenten, waardoor er in heel Europa een hogere standaard van cyberveiligheid kan worden bereikt. Door proactief te zijn kunnen bedrijven niet alleen boetes voorkomen, maar ook hun reputatie beschermen, klantvertrouwen opbouwen en de algehele veiligheid binnen kritieke sectoren bevorderen.
Lees ook:
