Mijn lijsten

Hulp & contact

homepageMagBeschermen en beveiligenNIS2-richtlijn: verplichtingen en IT-beveiligingsoplossingen

NIS2-richtlijn: wat bedrijven moeten weten over IT-beveiliging

Als reactie op het groeiende aantal cyberdreigingen heeft de Europese Unie ambitieuze wetgeving aangenomen: de NIS2-richtlijn. Wat valt eronder? Voor wie geldt de richtlijn? En vooral, hoe kunt u zich doeltreffend voorbereiden? Bruneau gidst u door uw IT-beveiliging.


Wat is de NIS2-richtlijn?

De NIS2-richtlijn (netwerk- en informatiebeveiliging) is een evolutie van de eerste NIS-richtlijn uit 2016. Het doel is om de veerkracht van kritieke digitale infrastructuren te versterken in het licht van toenemende cyberdreigingen. Het doel is duidelijk: de cyberbeveiligingsniveaus in de Europese Unie harmoniseren en bedrijven, overheidsdiensten en burgers beter beschermen.


Met het oog op de steeds geavanceerdere en frequentere aanvallen breidt NIS2 het toepassingsgebied van de eerste versie uit, met een bredere perimeter en strengere straffen.


In Frankrijk is het ANSSI (Agence nationale de la sécurité des systèmes d'information) verantwoordelijk voor het toezicht op de implementatie van de richtlijn, het beoordelen van de naleving door de betrokken entiteiten en het reageren in het geval van een groot incident. Het publiceert regelmatig praktische handleidingen en aanbevelingen om organisaties te helpen de richtlijn na te leven.


Op wie heeft NIS2 betrekking?

In tegenstelling tot de eerste richtlijn is NIS2 van toepassing op een breder scala aan organisaties. Er wordt onderscheid gemaakt tussen twee soorten spelers:

  • Essentiële entiteiten: exploitanten van vitaal belang in sectoren zoals energie, vervoer, financiën of gezondheid.
  • Belangrijke entiteiten: digitale bedrijven, IT-dienstverleners, cloud-dienstverleners, fabrikanten van elektronische apparatuur, enz.

Praktisch gezien is de richtlijn van toepassing op bedrijven met meer dan 50 werknemers of een jaaromzet van meer dan €10 miljoen in de sectoren die onder de richtlijn vallen. Ook onderaannemers en technische partners kunnen onder de richtlijn vallen.


Wat zijn de verplichtingen van NIS2?

De richtlijn verplicht bedrijven om een robuuste cyberbeveiligingsstrategie in te voeren, die technische, organisatorische en menselijke aspecten omvat.

De belangrijkste maatregelen zijn :

  • IT-risicobeheer: intern beleid opstellen, systemen en gegevens beveiligen.
  • Actieve bewaking: incidentdetectie, waarschuwingen en snelle reactie.
  • Verplichte melding: melding van een ernstig incident aan de relevante autoriteiten binnen 24 uur.
  • Beveiliging van de toeleveringsketen: controle van dienstverleners en leveranciers.
  • Training en bewustmaking: werknemers in staat stellen om risico's het hoofd te bieden.


IT-apparatuur bekijken


Werkplekken beveiligen: een prioriteit die te vaak wordt onderschat

In een effectieve cyberbeveiligingsstrategie is de fysieke en perifere beveiliging van IT-apparatuur een dimensie die maar al te vaak wordt verwaarloosd. Toch speelt het een sleutelrol in de bescherming van gevoelige gegevens, vooral tegen interne bedreigingen, diefstal of verlies van apparatuur onderweg.


Anti diefstal en vergrendelingssystemen voor laptops

Of het nu in een open kantoor, een vergaderruimte of een gedeelde werkruimte is, een onbeveiligd werkstation kan gemakkelijk worden verplaatst of gestolen. Er bestaan eenvoudige oplossingen, zoals anti-diefstalkabels waarmee een laptop aan een bureau of vast meubel kan worden bevestigd.


Zie anti-diefstal kabels voor computers


Biometrische vingerafdruksleutels: een effectief digitaal slot

Als aanvulling op de fysieke beveiliging kiezen sommige bedrijven voor biometrische beveiligingssleutels. Laptops en randapparatuur die gebruik maken van vingerafdrukherkenning maken het mogelijk om de toegang tot werkstations of bepaalde gevoelige gegevens te beperken. Een effectieve manier om ervoor te zorgen dat alleen de bevoegde gebruiker de sessie kan ontgrendelen.

Deze apparaten kunnen eenvoudig worden geïntegreerd in een strenger toegangsbeheerbeleid, zoals vereist door de NIS2-richtlijn.


Vertrouwelijkheidsfilters: discreet maar essentieel

In de open ruimte, maar ook op reis (trein, vliegtuig, coworking space, hotels, enz.) is het risico van nieuwsgierige blikken op een computerscherm zeer reëel. Privacyschermfilters beperken de zichthoek, waardoor het scherm onleesbaar wordt voorbij een bepaalde as. Het is een eenvoudige, niet-opdringerige, maar zeer effectieve oplossing.


Beveilig toetsenborden en muizen met AES-codering

Cyberbeveiliging omvat ook het kiezen van de juiste randapparatuur. Sommige draadloze toetsenborden en muizen, zoals die van Kensington, zijn voorzien van AES-encryptie (Advanced Encryption Standard). Deze technologie voorkomt dat toetsaanslagen of muisbewegingen kunnen worden onderschept door snuffelaanvallen. In het Engels verwijst de term naar het onderscheppen van gegevens terwijl ze tussen verschillende apparaten reizen.


Wat zijn de straffen voor niet-naleving?

Bedrijven die de NIS2-richtlijn niet naleven, riskeren hoge boetes:

  • Boetes tot 10 miljoen euro of 2% van de wereldwijde omzet, afhankelijk van de ernst.
  • Verantwoordelijkheid van managers: er kunnen rechtstreeks maatregelen worden genomen tegen de verantwoordelijke personen.
  • Gevolgen voor het merkimago: een slecht beheerd incident kan de reputatie van het bedrijf bij klanten, partners en investeerders schaden.


Hoe voldoet u aan de vereisten van de NIS2-wet?

Hier volgen enkele belangrijke stappen om te voldoen aan de NIS2-richtlijnen:

  1. Voer een beveiligingsaudit uit: om kwetsbaarheden te identificeren en prioriteit te geven aan de uit te voeren acties.
  2. Werk intern beleid bij: wachtwoordbeheer, back-upprotocollen, netwerktoegang.
  3. Verhoog het bewustzijn van het team: menselijke fouten blijven de belangrijkste oorzaak van beveiligingslekken.
  4. Investeer in betrouwbare hulpmiddelen: veilige apparatuur, up-to-date software, fysieke beschermingsaccessoires.


Bruneau biedt een selectie van producten die zijn aangepast aan professionele omgevingen om deze stappen te ondersteunen.


Om verder te gaan kunnen bedrijven gebruik maken van de hulpmiddelen die door ANSSI zijn gepubliceerd, met name de gidsen voor IT-hygiëne, goede praktijken in toegangsbeheer en beveiligingsaanbevelingen voor mobiele apparatuur.


Een beperking die een hefboom kan worden

De NIS2-richtlijn lijkt misschien beperkend, maar biedt ook een strategische kans. Door zijn cyberbeveiligingshouding te versterken, kan een :

  • Winst in betrouwbaarheid en geloofwaardigheid,
  • Beschermt het zijn informatiemiddelen,
  • Voldoet het aan de eisen van klanten en partners.


Samengevat: de belangrijkste punten van NIS2

InwerkingtredingOktober 2024
Betrokken bedrijvenEssentieel en groot, >50 werknemers
VerplichtingenIT-beveiliging, melding van incidenten, controle van dienstverleners
SanctiesTot €10m of 2% van de omzet