Door de toename van cyberdreigingen scherpen overheden hun wetgeving aan voor de bescherming van kritieke infrastructuur en gevoelige data. Een cruciale volgende stap in deze ontwikkeling is de NIS2-richtlijn (Network and Information Security Directive 2) van de Europese Unie. Dit is de opvolger van de NIS 1-richtlijn die sinds 2016 in werking is.

Organisaties die aan NIS 2 moeten voldoen, zijn bezig met een race tegen de klok om klaar te zijn voor de inwerkingtreding van deze regelgeving later dit jaar. Maar op welke soorten organisaties is de nieuwe richtlijn van toepassing? Waar moeten ze aan voldoen? En waarom is het niet alleen van toepassing op cybersecurity maar ook op de fysieke beveiliging van panden, personeel, burgers, assets en meer?

Impact NIS2 voor fysieke security professionals
Bescherming tegen fysieke bedreigingen is inmiddels in veel organisaties net zo belangrijk als bescherming tegen cyberaanvallen. Cybersecurity en fysieke beveiliging zijn steeds vaker nauw met elkaar verbonden. Er is een onderlinge afhankelijkheid tussen beiden die versterkt wordt doordat fysieke beveiligingssystemen en devices steeds meer technologische componenten bevatten en integreren (denk aan slimme camera’s, elektronische sloten en diverse soorten sensoren). Hierdoor kunnen er kwetsbaarheden voor cyberaanvallen ontstaan wanneer de beveiliging van zulke systemen of devices niet up-to-date is. NIS 2 biedt organisaties de garantie dat de fysieke beveiligingsoplossingen die zij gebruiken de cyberveiligheid niet in gevaar brengen.
Concrete voorbeelden hiervan zijn bijvoorbeeld dat als elektronische sloten worden gehackt, de toegang tot een cruciale locatie in gevaar komt. De fabrikant van de sloten, die onder NIS 1 buiten beeld bleef, valt nu binnen het toepassingsgebied van NIS 2. Fabrikanten die aan essentiële organisaties leveren, zullen zich dan ook moeten aanpassen aan een hoog niveau van cyber security.

Wat betekent dit in de praktijk?
In de praktijk betekent een en ander dat de organisaties en partijen waarop NIS2 betrekking heeft, krachtige cybersecurity-maatregelen moeten nemen om hun digitale systemen en netwerken te beschermen. Hierbij zijn de volgende aandachtspunten belangrijk:

• Het in kaart brengen van kritieke digitale assets: organisaties moeten een lijst samenstellen van hun kritieke digitale assets, dat wil zeggen de digitale elementen en resources die van vitaal belang zijn voor hun business, waaronder apparatuur, software en gevoelige data.
• Cyber risico management: organisaties zijn verplicht regelmatig risico assessments uitvoeren om potentiële cyberbedreigingen en kwetsbaarheden te identificeren, en strategieën bepalen om deze risico’s te beperken.
• Implementatie van cyber security maatregelen: organisaties moeten technische beveiligingsmaatregelen inzetten (firewalls, antivirus, inbraakdetectie, enz.) en een strikt cybersecurity beleid implementeren.
• Rapporteren van incidenten. wanneer er een cybersecurity incident optreedt, zijn stakeholders verplicht deze snel te rapporteren. Die druk is nog hoger wanneer het incident impact heeft op de bedrijfsvoering of de veiligheid van data en informatie.
• Samenwerking met cyber security autoriteiten: organisaties moeten samenwerken met nationale cyber security autoriteiten en bijdragen aan het beheer van cyber crisissen.
• Training van medewerkers: ook medewerkers van organisaties moeten bewust gemaakt wordt van cybersecurity issues en getraind worden hoe ze nieuwe technologieën veilig kunnen gebruiken.
• Compliance en bewijsvoering: de activiteiten van de betrokken partijen moeten voldoen aan de NIS 2 vereisten en er moet aangetoond kunnen worden dat zij aan de eisen voldoen.

Boetes wanneer NIS 2 niet wordt nageleefd
NIS 2 is niet slechts een formaliteit. Bedrijven die zich niet aan de regels houden, riskeren zware sancties. De boetes kunnen oplopen tot 2 procent van de wereldwijde omzet. Stel je een fysiek beveiligingsbedrijf voor waar inbreuk heeft plaatsgevonden op het videomanagement of de toegangscontrolesystemen. Als dat bedrijf niet voldoet aan NIS 2, kunnen de financiële gevolgen desastreus zijn.

Onze partners kunnen u volledig informeren over de toepassing van de NIS 2 maatregelen in uw specifieke situatie.