Cybercrime? In onze sector loopt het niet zo’n vaart.
Wat je niet ziet, bestaat niet.
Of toch wel?
Nieuwe security-vereisten op komst voor Nederlandse bedrijven
De cyberdreiging voor bedrijven groeit met de dag. Zelfs een vrij simpele hackpoging kan grote gevolgen hebben, laat staan een cyberaanval door een professionele bende. Overheden vinden dit zo belangrijk dat er steeds stringentere wetgeving komt over hoe organisaties veilig toegang blijven houden tot hun ICT en hun data afschermen. Dit leidt tot richtlijnen die niet vrijblijvend zijn. Overtredingen kunnen tot forse boetes leiden.
Grotere organisaties hebben hun cybersecurity min of meer op orde. Veel kleinere en ook middelgrote organisaties worstelen met de vraag welke wetten specifiek voor hen gelden en hoe ze zich afdoende tegen aanvallen kunnen wapenen. In dit artikel gaan we op deze punten in.
EU-richtlijn NIS2
De nieuwe richtlijn NIS2 (Network and Information Systems Security Directive) is vastgesteld door de Europese Unie en bedoeld om de digitale infrastructuur te beschermen. De NIC2-richtlijn wordt momenteel omgezet naar nationale wetten. Naar verwachting zal de wet eind 2024 in Nederland worden ingevoerd. Het doel van de regels is een hoger niveau van beveiliging voor netwerk- en informatiesystemen bij bedrijven en organisaties, zodat ze beter gewapend zijn tegen cybercriminelen en snel handelen als er toch iets misgaat.
Als een bedrijf of organisatie onder de richtlijn valt, gelden deze verplichtingen:
Zorgplicht. Er moet een risicobeoordeling en op basis daarvan maatregelen komen die zorgen dat diensten zoveel mogelijk kunnen doorgaan en te gebruiken gegevens afdoende beschermd zijn.
Meldplicht. Incidenten moeten binnen 24 uur gemeld worden aan de toezichthouder en aan het Computer Security Incident Response Team (CSIRT) in geval van een cybercrime.
Toezicht. Er wordt gecontroleerd of bedrijven zich aan de richtlijnen houden met het risico op boetes door de toezichthouder.
Hoe essentieel ben je?
NIS2 gaat gelden voor sectoren en organisaties die volgens de richtlijn van vitaal belang zijn voor de maatschappij. Deze sectoren hebben het etiket ’essentieel’ gekregen: transport, gezondheidszorg, banken, financiële markten, digitale infrastructuur, drinkwatervoorziening, rioolwaterafvoer en energievoorziening.
De omvang van de bedrijven maakt voor de NIS2 niet uit. Ook kleinere organisaties in deze sectoren vallen onder de regelgeving. Is jouw bedrijf niet actief in een ‘essentiële’ sector maar doe je zaken met een organisatie die dat wel is? Dan geldt de NIS2 ook voor jou. Zelfs als bedrijven in de keten elders in Europa gevestigd zijn. Of buiten Europa zijn gevestigd maar wel binnen Europa actief zijn.
Deze zelfevaluatie helpt bepalen of je onder de richtlijn valt.
Nu al aan de slag
Ondernemers hebben nog bijna een jaar te tijd om zich voor te bereiden op de NIS2. De Rijksoverheid adviseert bedrijven om niet af te wachten tot de wet- en regelgeving volledig duidelijk is. De risico’s zijn er nu ook al. Cyberbeveiliging is niet iets dat je doet om aan regels te voldoen, maar voor de continuïteit en zelfs het voortbestaan van de onderneming. Daar komt bij dat ook als jij geen meldplicht en zorgplicht krijgt, andere bedrijven in de keten wel zwaardere securityeisen aan je gaan stellen.
S3Group helpt je met een snelle risicoanalyse en maatregelen om te voldoen aan de NIS2-regels. Bijvoorbeeld met het beveiligen van de systeembeheer rechten. Bij een hack proberen aanvallers die in handen te krijgen om toegang tot het systeem te krijgen en om – eenmaal binnen – gevoelige data te openen of exporteren en daarna de sporen van hun acties te wissen. NIS2 stelt ook eisen aan de bewaking van de ICT-omgeving. Het product S3detect zorgt voor 24/7 bewaking om aanvallen te detecteren, op te lossen en melden.
AVG voor organisaties die persoonsgegevens verwerken
De AVG privacywet is al sinds 2018 van kracht met als doel de privacyrechten van mensen te versterken en te regelen hoe organisaties persoonsgegevens verwerken. De AVG geldt voor alle bedrijven en organisaties in Europa, inclusief kleine bedrijven en ZZP’ers. Persoonsgegevens verwerk je vrijwel de hele dag, bijvoorbeeld door afspraken te maken met prospects, offertes versturen, leden in te schrijven, cookies verzamelen etc. etc. Zelfs anonieme gegevens zijn gevoelige informatie en vallen onder de AVG-regels. Het niet naleven van de regels kan tot zware boetes leiden.
Wat de AVG nu ineens actueel maakt, is de enorme toename aan ransomware-aanvallen. Daarbij sluipen hackers de ICT-omgeving binnen en versleutelen of stelen gevoelige (persoons)gegevens. Die dreigen ze openbaar te maken of te verhandelen. Dit kan leiden tot identiteitsdiefstal en fraude, wat grote boetes vanuit de AVG tot gevolg kan hebben. Nog even los van het losgeld dat aan de criminelen betaald moet worden in ruil voor het weer terugkopen van gestolen data.
Om gevoelige gegevens, financiën en reputatie van je bedrijf te beschermen is het verstandig om te investeren in cyberweerbaarheid. Wacht niet tot het te laat is. Een gesprek met een deskundige security consultant over de NIS2 en AVG is een verstandige stap.
S3 Group biedt realtime beveiligingsoplossingen. Speciaal voor kleine en middelgrote organisaties is S3detect ontwikkeld. Dit monitort ICT-omgevingen 24/7 op verdachte patronen en heeft een ultrakorte responstijd via de eigen professioneel bemande alarmcentrale. Voor een oriënterend gesprek over onze uitgebreide en proactieve benadering van cyberveiligheid kunt u hier contact opnemen
Meer weten?
Neem contact op met:
Gerald Schaapman
info@s3group.nl
+31 (0)318 230006