Wat is NIS2?

De NIS2 wetgeving is een richtlijn op Europees niveau die de digitale weerbaarheid van belangrijke sectoren moet verbeteren, het doel ervan is om de cyberbeveiliging van de gehele Europese Unie te verbeteren. Momenteel is de uiteindelijke wetgeving uitgesteld tot het derde kwartaal van 2025, met mogelijke vertraging tot begin/midden 2026. Wel belangrijk om te noemen, met onze huidige politieke situatie, aka het demissionair kabinet Schoof I, mag het kabinet geen controversiële wetten doorvoeren, de NIS2 wetgeving zal hier hoogstwaarschijnlijk ook onder vallen. Er is dus een grote kans dat we de uiteindelijke wetgeving pas zien in 2026.

Voor wie geldt NIS2?

Onder de NIS2 regeling vallen:

• Ondernemingen met minstens 50 werknemers of meer dan €10 miljoen omzet.
• Bepaalde sectoren: energie, water, digitale infrastructuur, transport, zorg, financiën, openbare administratie, voedsel, post & koeriersdiensten, of ruimtevaart.
• Essentiële diensten, zoals ziekenhuizen.
• Belangrijke diensten, zoals post- en koeriersdiensten.

Twijfel je? Check hier of je bedrijf onder NIS2 valt en onder welke categorie.

Wat moet je regelen als je onder NIS2 valt?

Zoals we aan het begin hebben vermeld is de wetgeving in Nederland vertraagd. Dat betekent dat er nog geen strikte plichten zijn tot de wet daadwerkelijk is vastgesteld. Wel zijn er al een paar actieve reglementen:

• Registreer je bedrijf voor NIS2! Dit kan via NCSC. Vervolgens kan je al gebruikmaken van ondersteuning bij incidenten via het CSIRT.
• Alle huidige regels onder het WBNI, wat voortkomt uit de eerste versie van NIS, blijven gewoon van toepassing. Deze moet je gewoon nog volgen.

Welke stappen kun je al ondernemen?

Ondertussen zijn er al wat dingen die je kunt doen om je voor te bereiden. Denk aan het uitvoeren van risicoanalyses, het instellen van procedures voor incident detectie en meldingen, of het verbeteren van beveiligingsmaatregelen. Wij helpen hier bedrijven dagelijks mee door het inrichten van veilige netwerken, het beperken van kwetsbaarheden in bekabelde en draadloze infrastructuren en het bijhouden van toegang tot systemen via uitgebreide audit logboeken.

Waar moet je bedrijfsnetwerk aan voldoen?

Het is inmiddels bekend dat jouw organisatie zal moeten voldoen aan een paar processen voor het beveiligen van je netwerk- en informatiesystemen. Het doel van al deze stukken beleid is het in kaart brengen van de verschillende systemen, afhankelijkheden, informatiestromen en dreigingen. Deze onderwerpen moet je in ieder geval behandelen:

Bedrijfscontinuïteit

Aangezien je bedrijf binnen NIS2 wordt aangemerkt als ‘essentieel’ (gefeliciteerd trouwens 🥳) is het extra belangrijk dat jullie altijd online blijven. NIS2 geeft daarom aan dat een back-up, herstelplan en crisismanagement op orde moeten zijn. Deze onderdelen zijn hiervoor van belang:

• Een back-up verbinding die downtime kan opvangen.
• Een duidelijk Service Level Agreement (SLA) met jullie internet leveranciers en netwerkbeheerders.
• Heldere afspraken over hersteltijden (bijvoorbeeld binnen 4 uur) bij defecte apparatuur of schade aan internet verbindingen.

Voor sommige organisaties kan redundante netwerkapparatuur raadzaam wanneer er geen risico mag zijn op uitval van deze kritieke infrastructuur. Hiervoor zijn geen vaste rekenregels maar de organisatie moet zorg dragen dat de bedrijfscontinuïteit is geborgd en dat alle risico’s geïdentificeerd zijn. Een voorbeeld hiervan kan ook zijn dat stroomuitval opgevangen wordt met een noodstroomvoorziening.

Incidentbeheer

Om aan de zorgplicht te voldoen voor de NIS2-richtlijn moet er een systeem in plaats zijn voor het detecteren, analyseren en opvolgen van beveiligings- en continuiteitsincidenten binnen het bedrijfsnetwerk. Dat betekent dat er actie genomen moet worden op basis van monitoring in een systeem waarbij duidelijk is wat er is gebeurd en welke actie daarop is genomen. Ook bij uitval van verbindingen of stroom is het belangrijk dit te documenteren en op te lossen om de bedrijfscontinuïteit te kunnen garanderen.

Netwerkbeveiligingsbeleid

In dit beleid moet staan hoe jullie bedrijfsnetwerk is ingericht en welke veiligheidsmaatregelen zijn toegepast. Ook moet een bedrijf beveiligd zijn tegen ongewenst verkeer van buiten middels een goed ingerichte en gedocumenteerde firewall. De Nederlandse overheid stelt als eis om gebruik te maken van netwerksegmentatie, hierbij scheid je de belangrijkste systemen van de rest. Je kunt dit bijvoorbeeld ook doen door een gastnetwerk te richten. Maar laten we eerlijk zijn, elk bedrijf zou dit in 2025 inmiddels moeten hebben 😉.

Configuratiebeleid

Hieronder verstaan we het juist instellen en configureren van je bedrijfsnetwerk, systemen, hardware en software. Denk aan hoe vaak je je wachtwoord veranderd, bijvoorbeeld. Dit betekent dat er documentatie is over welke beheersmaatregelen er zijn, hoe de beveiliging is geregeld en of er bijvoorbeeld gebruik wordt gemaakt van webfilters of IDS/IPS (eveneens relevant voor NEN-EN-ISO/IEC 27001:2023 nl).

Changemanagementprocess

Hierin beschrijf je hoe het bedrijf omgaat met veranderingen (changes), hoe deze getest worden of wanneer er een roll-back plaatsvindt als een change niet slaagt. Ze willen graag zien dat je een duidelijk consistent proces hebt die de veiligheid van het netwerk garandeert. Dit houdt dus ook in dat je van elke wijziging in je netwerk een documentatie bijhoudt.

Patchmanagementbeleid

In het patch managementbeleid beschrijf je onder welke voorwaarden een beveiligingsupdate geïnstalleerd wordt nadat het beschikbaar is gekomen. Welke systemen update je meteen? En welke (soort) kwetsbaarheden kunnen wachten op het vaste moment in de week of maand? Vervolgens moet je documenteren welke updates gedaan zijn, door wie en waarom.

Security by design

Het bedrijfsnetwerk van jullie bedrijf moet vanaf de basis veilig ontworpen zijn, dit geldt overigens ook voor de software die ontwikkeld wordt of wordt ingekocht. Beveiliging moet al vanaf de ontwikkelfase meegenomen worden als basisprincipe, dat noemt men de Secure Development Life Cycle. Daarin wordt ook besproken wanneer software en hardware end-of-life of end-of-support dreigt te raken, waardoor het niet meer veilig te houden is en dient te worden vervangen. Belangrijk is dat er vanaf de basis gebruik moet worden gemaakt van de juiste versleuteling (encryptie). Dit geldt ook voor netwerkverbindingen zoals VPN tunnels én Wi-Fi wachtwoorden. Voor NIS2 organisaties is daarom WPA3 / WPA3-Enteprise aan te raden met eventueel zelfs bekabelde versleutelde verbindingen (802.11X).

Vulnerabilitymanagementbeleid

Het is de bedoeling dat je up-to-date blijft met kwetsbaarheden in software. Als er een kwetsbaarheid of datalek bij jouw software is, is het namelijk ook de bedoeling dat je volgens jullie eigen beleid hier iets tegen doet. Je kunt je bijvoorbeeld aansluiten bij de Digital Trust Center Community, zo blijf je op de hoogte. Ook is het raadzaam om je in te schrijven bij OpenCVE zodat je een melding ontvangt wanneer er een relevante kwetsbaarheid wordt gepubliceerd. Vervolgens is de vraag; wat doet je bedrijf als er een kwetsbaarheid is? Dit moet gedocumenteerd staan én je zult moeten gaan bijhouden wat de acties waren die genomen zijn per incident.

Inkoopbeleid

In dit stuk beleidsvorming omschrijft de organisatie welke regels het stelt voor de inkoop van apparatuur en software. Hierbij moet rekening gehouden worden met de SLA’s (Service Level Agreements) van de leveranciers, de privacyvoorwaarden, de garanties op beveiligingsupdates en dat de beveiligingseisen van het bedrijf in acht worden genomen door de leveranciers. NIS2 geeft duidelijk aan dat de organisaties verantwoordelijk zijn voor de beveiliging van hun netwerkdiensten, ook als die geleverd worden door externe partijen. Het is daarom super belangrijk dat bij de keuze van leverancier de toeleveringsketen wordt onderzocht en dat de leverancier een gedegen informatiebeveiligingsbeleid hanteert en er sprake is van pro-actieve opvolging en documentatie.

De overlap met ISO 27001

De overlap tussen ISO 27001 en NIS2 is zeker aanwezig op het gebied van netwerkbeveiliging. Voor zowel ISO 27001 en NIS2 zijn bovenstaande beleidsstukken noodzakelijk zodat de risico’s worden afgedicht. Het verschil is dat ISO 27001 een vrijwillige standaard is, waarbij NIS2 een wettelijke verplichting wordt. ISO 27001 is dus al een uitstekend startpunt voor het voldoen aan de NIS2 wetgeving!

Hoe doet Greatwaves dit?

Wij helpen onze klanten al jaren om fluitend voor de ISO 27001 certificering te slagen in het onderdeel netwerkbeveiliging. Wat ons geheim is? Ons eigen ontwikkelde NMS (network monitoring system). Dit zorgt voor:

• Actuele netwerkdocumentatie, van alle hardware die wij leveren en installeren. Deze netwerkdocumentatie is real-time inzichtelijk.
• Gegarandeerde bedrijfscontinuïteit door meerdere automatisch overschakelende internetverbindingen en (desgewenst) noodstroomvoorziening of apparatuur redundantie.
• Incidentbeheer: onze software monitort alle voor jullie netwerk belangrijke meetwaardes en storingen worden (ongekend) pro-actief opgepakt door onze storingsdienst.
• Toegangsbeheer: alle toegangen worden automatisch bijgehouden in logboeken die minimaal 6 maanden bewaard worden. MFA is overal geforceerd waar dit kan. Ook kunnen changes of informatieverzoeken alleen aangevraagd worden door gevalideerde contactpersonen.
• Dataintegriteit: Greatwaves heeft nooit rechtstreeks toegang tot de datastromen van eindklanten. Beheer wordt altijd gedaan via een separate VPN verbinding of management VLAN.
• Changemanagement: van elke wijziging, verzoek of mutatie wordt in ons NMS een melding gemaakt zodat elke change duidelijk is gedocumenteerd.
• Patchmanagement: volgens een door jullie gekozen updatebeleid voeren wij alle patches tijdig en zorgvuldig uit volgens ons gestandaardiseerde testproces. Veiligheidsupdates worden binnen SLA gegarandeerd binnen 24 uur uitgerold.
• Contractbeheer: in ons NMS vind je alle contracten van alle internet leveranciers en hun voorwaarden, hierdoor is de hele toeleveringsketen inzichtelijk.
• Security by design: jullie bedrijfsnetwerk wordt op basis van onze veilige templates ontworpen. Deze templates worden elk jaar getest door een extern securitybedrijf.
• Klantnotities, gebouwnotities en up-to-date gevalideerde contactpersonen worden in ons NMS bijgehouden. Hierdoor kunnen we rekening houden met de specifieke veiligheidseisen, communicatievoorkeuren en andere richtlijnen die jullie in het bedrijf hanteren. We houden zelfs bij waar we moeten parkeren, hoe we ons moeten aanmelden en of er bijvoorbeeld altijd iemand met ons mee moet lopen binnen het pand.

Belangrijk om te weten is dat we ook ons eigen informatiebeveiligingsbeleid hanteren, dit is uiteraard up-to-standard.

Meer weten?

Weet je niet waar je moet beginnen en ben je benieuwd of wij iets kunnen betekenen voor jouw bedrijf? Neem contact met ons op!