Fortinet herinnert bedrijven en overheidsinstellingen eraan dat de nieuwe NIS2-richtlijn vanaf 18 oktober van kracht zal zijn. Deze richtlijn is volgens Fortinet de belangrijkste EU-cybersecurityregelgeving van het decennium en zal de cyberveiligheid in Europa uniformiseren en versterken.
Met de NIS2-richtlijn wil de Europese Commissie de cyberweerbaarheid in de EU versterken, door middel van een gecoördineerde en gestroomlijnde aanpak. De NIS2-richtlijn geldt voor organisaties die binnen de EU actief zijn en essentiële diensten aan consumenten leveren, zoals telecomproviders, energiebedrijven, drinkwaterleveranciers, afvalverwerkingsbedrijven, koerierdiensten en voedingsproducenten. Kleinere bedrijven vallen hier echter niet onder als zij niet voldoen aan bepaalde criteria, zoals een jaaromzet van minder dan 10 miljoen euro of minder dan 50 werknemers.
De cyberbeveiligingseisen van de NIS2-richtlijn bestaan uit vijf pijlers: het beheer van bedrijfsmiddelen; de toegangscontrole tot netwerken en bedrijfsmiddelen; netwerksegmentatie, -bescherming en -respons; incidenten, waarschuwingen, incidentdetectie en rapportage aan het Europese netwerk van verbindingsorganisaties voor cybercrises (EU-CyCLONe) en ten slotte risicobeheer en risicobeperking.
“Dit is de belangrijkste EU-richtlijn voor cyberbeveiliging van dit decennium”, stelt Filip Savat, Regional Director BeLux bij Fortinet. “Veel organisaties in de gereguleerde sectoren zullen hun beveiliging en controles grondig moeten herzien. Samenwerken met een gespecialiseerde partner kan helpen om snel te beantwoorden aan de nieuwe regelgeving.”
Verplichte maatregelen
De NIS2-richtlijn werd op 14 december 2022 goedgekeurd en op 27 december 2022 officieel gepubliceerd. Dit regelgevend kader biedt een antwoord op de tekortkomingen van voorganger NIS1 uit 2016, die zich toespitste op de beveiliging van netwerk- en informatiesystemen. Vanaf 18 oktober 2024 treedt NIS2 in werking. Inbreuken op de NIS2-regelgeving kunnen ernstige gevolgen hebben, want bedrijven riskeren boetes tot 10 miljoen euro of 2% van hun wereldwijde omzet, afhankelijk van welke straf zwaarder is.
Een opmerkelijk aspect van de NIS2-richtlijn is dat bedrijfsleiders persoonlijk aansprakelijk kunnen worden gehouden voor ernstige overtredingen. Dit spoort het management aan om tijdig de vereiste maatregelen te implementeren. Het negeren van de NIS2-vereisten is geen optie meer, want sancties zijn strenger en zullen sneller uitgedeeld worden dan onder de vorige richtlijn.
Aangepaste ondersteuning
Fortinet biedt uitgebreide ondersteuning om organisaties te helpen voldoen aan deze nieuwe regelgeving. Het Fortinet Security Fabric-platform biedt een geïntegreerde oplossing die een overzicht biedt van de volledige beveiligingsinfrastructuur. Dit platform stelt organisaties in staat om cyberrisico’s effectief te beheren en incidenten snel te detecteren en op te lossen. Daarnaast levert FortiSIEM kant-en-klare detectiemiddelen, rapporten en dashboards die de incidentrespons verbeteren en de operationele kosten voor naleving verlagen.
Aanvullend biedt Fortinet enkele door AI ondersteunde SecOps-opties aan voor bescherming tegen het toenemende aantal OT-bedreigingen. FortiSOAR bevat onder meer OT View, een dashboard dat een overzicht schept binnen IT- en OT-omgevingen in combinatie met asset management. Nieuwe compliance-draaiboeken vullen deze interface aan om het OT-netwerk en -activa duidelijk in kaart te brengen en beveiligingsrisico’s rond operationele technologie te verhelpen. FortiNDR is dan weer een tool om het netwerkgedrag te analyseren, wat helpt bij de detectie van bekende en onbekende bedreigingen binnen de geconvergeerde IT/OT-infrastructuur en onregelmatigheden binnen het OT-netwerk.
“Met onze kennis van cybersecuritystandaarden en ervaring in de betrokken sectoren, kan Fortinet helpen om beveiligingsstrategieën te versterken en de naleving van NIS2 te garanderen”, zegt Filip Savat. “Zo bereiden we organisaties voor op toekomstige cyberdreigingen, terwijl ze voldoen aan de strengere eisen van NIS2.”
Zes aanbevelingen van Fortinet
- Deel informatie over bedreigingen met relevante sectororganisaties, overheidsinstanties en cyberbeveiligingsorganisaties en blijf op de hoogte van nieuwe bedreigingen.
- Onderhoud een goede relatie met het Computer Security Incident Response Team (CSIRT) en weet welke incidenten gemeld moeten worden.
- Zorg ervoor dat technologieën alle aspecten van de cybersecuritystandaard IEC 62443 aanpakken en inzicht bieden in zowel de IT- als de OT-netwerken.
- Zet geavanceerde detectietechnologieën in die zijn aangepast aan industriële omgevingen.
- Voer een getrapte digitale toegangscontrole uit om de impact van cyberbeveiligingsincidenten op andere systemen te voorkomen.
- Organiseer regelmatig gezamenlijke trainingsoefeningen waarbij verschillende cyberbeveiligingsscenario’s worden gesimuleerd, zodat teams gecoördineerde incidentbestrijdingsprocedures kunnen oefenen.