Strengere EU-securityregels voor bedrijven

Begin dit jaar trad de NIS-2 wet in werking, de nieuwste versie van bestaande securityregels uit 2016. De Europese regelgeving verplicht lidstaten sindsdien om nationale cyberbeveiligingsstrategieën te ontwikkelen en internationaal samen te werken. De eerste versie – NIS-1 – toonde zich al snel achterhaald. Met NIS-2 worden ook telecomnetwerken en andere communicatiediensten als essentiële diensten erkend.

Deze ‘belangrijke bedrijven’ moeten nu verplicht melding maken van beveiligingsincidenten aan een nationaal computer response team. Dat geldt ook wanneer bij een incident geen persoonsgegevens worden buitgemaakt, wat al deel uitmaakt van de GDPR-privacyregels. De computer response teams moeten informatie binnen de 24 uur uitwisselen wanneer een incident grensoverschrijdende gevolgen kan hebben.

Maatregelen voor het beheer van cyberbeveiligingsrisico’s
(Uit de wetteksten gepubliceerd door het Europees Parlement)
De lidstaten zorgen ervoor dat essentiële en belangrijke entiteiten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen die deze entiteiten voor hun werkzaamheden of voor het verlenen van hun diensten gebruiken, te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken.
De bedoelde maatregelen zijn gebaseerd op een benadering die alle gevaren omvat en tot doel heeft netwerk- en informatiesystemen en de fysieke omgeving van die systemen tegen incidenten te beschermen, en omvatten ten minste het volgende:

• beleid inzake risicoanalyse en beveiliging van informatiesystemen;
• incidentenbehandeling;
• bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer;
• de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
• beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
• beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
• basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
• beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
• beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
• wanneer gepast, het gebruik van multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.

De maatregelen opgenomen in de Europese regelgeving zijn nuttig als leidraad voor de bedrijfsinterne cybersecurity.