Fortinet herinnert aan naderende deadline voor cybersecurityrichtlijn NIS2

Fortinet herinnert bedrijven en over­heids­in­stel­lingen eraan dat de nieuwe NIS2-richtlijn vanaf 18 oktober van kracht zal zijn. Deze richtlijn is volgens Fortinet de belang­rijkste EU-cyber­se­cu­ri­ty­re­gel­ge­ving van het decennium en zal de cyber­vei­lig­heid in Europa unifor­mi­seren en versterken.

Met de NIS2-richtlijn wil de Europese Commissie de cyber­weer­baar­heid in de EU versterken, door middel van een geco­ör­di­neerde en gestroom­lijnde aanpak. De NIS2-richtlijn geldt voor orga­ni­sa­ties die binnen de EU actief zijn en essen­tiële diensten aan consu­menten leveren, zoals tele­com­pro­vi­ders, ener­gie­be­drijven, drink­wa­ter­le­ve­ran­ciers, afval­ver­wer­kings­be­drijven, koerier­dien­sten en voedings­pro­du­centen. Kleinere bedrijven vallen hier echter niet onder als zij niet voldoen aan bepaalde criteria, zoals een jaaromzet van minder dan 10 miljoen euro of minder dan 50 werknemers.

De cyber­be­vei­li­gings­eisen van de NIS2-richtlijn bestaan uit vijf pijlers: het beheer van bedrijfs­mid­delen; de toegangs­con­trole tot netwerken en bedrijfs­mid­delen; netwerk­seg­men­tatie, ‑bescher­ming en ‑respons; inci­denten, waar­schu­wingen, inci­dent­de­tectie en rappor­tage aan het Europese netwerk van verbin­dings­or­ga­ni­sa­ties voor cyber­crises (EU-CyCLONe) en ten slotte risi­co­be­heer en risicobeperking.

“Dit is de belang­rijkste EU-richtlijn voor cyber­be­vei­li­ging van dit decennium”, stelt Filip Savat, Regional Director BeLux bij Fortinet. “Veel orga­ni­sa­ties in de gere­gu­leerde sectoren zullen hun bevei­li­ging en controles grondig moeten herzien. Samen­werken met een gespe­ci­a­li­seerde partner kan helpen om snel te beant­woorden aan de nieuwe regelgeving.”

Verplichte maatregelen

De NIS2-richtlijn werd op 14 december 2022 goed­ge­keurd en op 27 december 2022 officieel gepu­bli­ceerd. Dit regel­ge­vend kader biedt een antwoord op de tekort­ko­mingen van voor­ganger NIS1 uit 2016, die zich toespitste op de bevei­li­ging van netwerk- en infor­ma­tie­sys­temen. Vanaf 18 oktober 2024 treedt NIS2 in werking. Inbreuken op de NIS2-regel­ge­ving kunnen ernstige gevolgen hebben, want bedrijven riskeren boetes tot 10 miljoen euro of 2% van hun wereld­wijde omzet, afhan­ke­lijk van welke straf zwaarder is.

Een opmer­ke­lijk aspect van de NIS2-richtlijn is dat bedrijfs­lei­ders persoon­lijk aanspra­ke­lijk kunnen worden gehouden voor ernstige over­tre­dingen. Dit spoort het mana­ge­ment aan om tijdig de vereiste maat­re­gelen te imple­men­teren. Het negeren van de NIS2-vereisten is geen optie meer, want sancties zijn strenger en zullen sneller uitge­deeld worden dan onder de vorige richtlijn.

Aangepaste ondersteuning

Fortinet biedt uitge­breide onder­steu­ning om orga­ni­sa­ties te helpen voldoen aan deze nieuwe regel­ge­ving. Het Fortinet Security Fabric-platform biedt een geïn­te­greerde oplossing die een overzicht biedt van de volledige bevei­li­gings­in­fra­struc­tuur. Dit platform stelt orga­ni­sa­ties in staat om cyberrisico’s effectief te beheren en inci­denten snel te detec­teren en op te lossen. Daarnaast levert FortiSIEM kant-en-klare detec­tie­mid­delen, rapporten en dash­boards die de inci­den­tres­pons verbe­teren en de opera­ti­o­nele kosten voor naleving verlagen.

Aanvul­lend biedt Fortinet enkele door AI onder­steunde SecOps-opties aan voor bescher­ming tegen het toene­mende aantal OT-bedrei­gingen. FortiSOAR bevat onder meer OT View, een dashboard dat een overzicht schept binnen IT- en OT-omge­vingen in combi­natie met asset mana­ge­ment. Nieuwe compli­ance-draai­boeken vullen deze interface aan om het OT-netwerk en ‑activa duidelijk in kaart te brengen en beveiligingsrisico’s rond opera­ti­o­nele tech­no­logie te verhelpen. FortiNDR is dan weer een tool om het netwerk­ge­drag te analy­seren, wat helpt bij de detectie van bekende en onbekende bedrei­gingen binnen de gecon­ver­geerde IT/OT-infra­struc­tuur en onre­gel­ma­tig­heden binnen het OT-netwerk.

“Met onze kennis van cyber­se­cu­ri­ty­stan­daarden en ervaring in de betrokken sectoren, kan Fortinet helpen om bevei­li­gings­stra­te­gieën te versterken en de naleving van NIS2 te garan­deren”, zegt Filip Savat. “Zo bereiden we orga­ni­sa­ties voor op toekom­stige cyber­drei­gingen, terwijl ze voldoen aan de strengere eisen van NIS2.”

Zes aanbevelingen van Fortinet

1. Deel infor­matie over bedrei­gingen met relevante sector­or­ga­ni­sa­ties, over­heids­in­stan­ties en cyber­be­vei­li­gings­or­ga­ni­sa­ties en blijf op de hoogte van nieuwe bedreigingen.
2. Onderhoud een goede relatie met het Computer Security Incident Response Team (CSIRT) en weet welke inci­denten gemeld moeten worden.
3. Zorg ervoor dat tech­no­lo­gieën alle aspecten van de cyber­se­cu­ri­ty­stan­daard IEC 62443 aanpakken en inzicht bieden in zowel de IT- als de OT-netwerken.
4. Zet geavan­ceerde detec­tie­tech­no­lo­gieën in die zijn aangepast aan indu­striële omgevingen.
5. Voer een getrapte digitale toegangs­con­trole uit om de impact van cyber­be­vei­li­gings­in­ci­denten op andere systemen te voorkomen.
6. Orga­ni­seer regel­matig geza­men­lijke trai­nings­oe­fe­ningen waarbij verschil­lende cyberbeveiligingsscenario’s worden gesi­mu­leerd, zodat teams geco­ör­di­neerde inci­dent­be­strij­dings­pro­ce­dures kunnen oefenen.