NIS staat voor Network & Information Systems. Het doel van de wetgeving is om Europa beter te beschermen tegen cyberbedreigingen en de bedrijven weerbaarder te maken. Daarnaast moet NIS2 ook leiden tot een goede samenwerking waarbij informatie rond dreigingen en incidenten vlot kan gedeeld worden. NIS2 is de uitbreiding (meer sectoren, waaronder ook overheden) en uniformisering (verschil tussen lidstaten wegwerken) van NIS1, die al sinds 2016 bestaat. NIS2 is voor cyberveiligheid wat GDPR voor gegevensbescherming is en kan beschouwd worden als de eerste echte securitywetgeving in Europa.

De eisen die NIS2 oplegt, kunnen high-level worden samengevat in 4 domeinen: management, processen, risicobeheer en bedrijfscontinuïteit.

1. Management: binnen NIS2 moet het management de vereisten kennen en verantwoordelijkheid opnemen om risico’s in kaart te brengen en aan te pakken. Zij moeten er ook voor zorgen dat regelmatig bewustzijnscampagnes naar alle medewerkers worden gevoerd zodat er een echte cultuur van veiligheid in de organisatie ontstaat.
2. Processen: informatieveiligheid is een cyclisch proces dat duidelijke regels en hulpmiddelen vraagt. NIS2 vereist dat processen rond o.a. informatieclassificatie, aanpak en rapporteren van incidenten, beveiliging van de toeleveringsketen, ontwikkelen van veilige informatiesystemen en digitale hygiëne gedefinieerd worden.
3. Risicobeheer: een incident vermijden is moeilijk, ervoor zorgen dat de impact beperkt blijft en de dienstverlening gewaarborgd blijft, kan wel degelijk. Door informatie te classificeren en een goed overzicht te behouden van de risico’s kan de organisatie zich weerbaar opstellen. Het management houdt te allen tijde een vinger aan de pols en zorgt ervoor dat voldoende middelen (budget en menskracht) beschikbaar zijn.
4. Bedrijfscontinuïteit: elke organisatie binnen NIS2 dient over een plan te beschikken om de continuïteit te garanderen ingeval van grote cyberaanvallen. Dat kan bijvoorbeeld door de inrichting, testen en evalueren van een incident response en disaster recovery en crisisbeheerplannen.

Overheden zouden minimaal de volgende maatregelen moeten nemen. Wie voldoet aan deze maatregelen, neemt een gevleugelde start om aan de NIS2 wetgeving te voldoen. Meer informatie vindt u bij Digitaal Vlaanderen.

1. Bewustwording: Digitaal Vlaanderen zet een bewustwordingscampagne en trainingen in om zowel leidinggevenden als alle VO-medewerkers te sensibiliseren rond digitale veiligheid. De maturiteit van uw organisatie kan worden nagegaan door actief te testen rond basishygiëne. Medewerkers alert houden gebeurt met campagnes, het simuleren van cyberaanvallen, etc.
2. Risicoanalyse en toepassen informatieclassificatie: Digitaal Vlaanderen ontwikkelde een gevalideerde methode voor informatieclassificatie. Ze vormt de basis voor het identificeren van de ‘kroonjuwelen’ van uw organisatie. Deze gegevens, processen, producten en diensten zijn cruciaal en moeten zo goed mogelijk worden beveiligd.
3. Gegevensbescherming: via bijv. encryptie, dataminimalisatie, minimale gegevensverwerking en toegangsbeheer. Een organisatie die zelf zo weinig mogelijk persoonsgegevens bijhoudt, is minder aantrekkelijk voor cybercriminelen. Digitaal Vlaanderen biedt oplossingen aan die u daarbij helpen.
4. Procedures rond rapporteren en aanpakken van een incident: u kunt Digitaal Vlaanderen inschakelen voor het ter beschikking stellen van een CISO of informatieveiligheidsconsulent. Deze ondersteunt bij het definiëren van rollen, verantwoordelijkheden en het in kaart brengen van procedures ingeval van een incident. Een CISO houdt ook toezicht op naleving en rapportering aan de directie.
5. Beveiliging van de systemen: veilig aanmelden op infrastructuur, apparatuur en applicaties, ook thuis, verloopt best via multifactorauthenticatie van Toegangsbeheer Vlaanderen ACM/IDM. Dankzij deze dienstverlening van Digitaal Vlaanderen vermijdt u het minder veilige gebruikersnaam en paswoord.
6. Bedrijfscontinuïteit: Digitaal Vlaanderen adviseert Vlaamse entiteiten om zich voor te bereiden op crisismanagement, een plan op te stellen, het voorbereiden van backups,…