Cyberbeveiligingswet

Identificeer uw volgende stappen in de reis naar een SASE gebaseerde architectuur

Wat is de Cyberbeveiligingswet?

De Cyberbeveiligingswet is een Europese richtlijn die gericht is op de beveiliging van Netwerk- en Informatiesystemen (NIS2) en bevat een reeks voorschriften om de veiligheid en veerkracht van deze systemen in de hele Europese Unie (EU) te waarborgen. Deze wet streeft ernaar de cybersecurity in de EU op verschillende manieren te verbeteren. Deze voorschriften zijn een uitbreiding van de bestaande NIS-richtlijnen (sinds 2016), maar zijn tevens uitgebreid naar andere sectoren.

Nu de EU-landen de Cyberbeveiligingswet eind 2022 hebben aangenomen, hebben de lidstaten nog twee jaar om deze om te zetten in nationale wetgeving. In Nederland is de implementatie van de Cyberbeveiligingswet echter vertraagd. De Nederlandse regering streeft er nu naar om de wetgeving in het tweede of derde kwartaal van 2025 in werking te laten treden.

Compliancy Cyberbeveiligingswet

De Cyberbeveiligingswet geldt voor kritische (“important”) en zeer kritische (“essential”) entiteiten en diensten. Bedrijven met 50 tot 250 werknemers worden beschouwd als “important” entiteiten, terwijl entiteiten met meer dan 250 werknemers onder “essential” vallen. Kleinere entiteiten vallen buiten deze scope, maar kunnen toch als kritisch of zeer kritisch worden aangemerkt door de overheid. Vooral in de supply chain kunnen grotere entiteiten hogere security-eisen stellen aan hun ‘kleinere’ toeleveranciers. Daarom is het belangrijk om je goed te informeren bij het Nationaal Cyber Security Centrum (https://www.ncsc.nl/).

Een belangrijk element binnen deze wet is de aansprakelijkheid van het topmanagement. Zo wordt het topmanagement verplicht om bijkomende opleiding te volgen om de inhoud van de Cyberbeveiligingswet te beheersen. In het geval van een incident kan het management hiervoor aansprakelijk worden gesteld. De awareness bij het eigen personeel moet ook op regelmatige basis worden bijgeschaafd.

CyberFundamentals Framework

Het CCB refereert ook naar het Cyberfundamentals Framework die gebaseerd op het gekende ISO27001 framework. Dit framework bestaat uit 5 core functies :

  1. Identify: Ken belangrijke cyberbedreigingen voor uw meest waardevolle bedrijfsmiddelen. In wezen kun je niet beschermen wat je niet weet dat bestaat. Deze functie helpt bij hetFramework ontwikkelen van een organisatorisch begrip van hoe cyberbeveiligingsrisico’s met betrekking tot systemen, mensen, bedrijfsmiddelen, gegevens en mogelijkheden moeten worden beheerd.
  2. Protect: De protect-functie richt zich op het ontwikkelen en implementeren van de beveiligingen die nodig zijn om een cyberrisico te beperken of in te perken.
  3. Detect: Het doel van de functie Detect is om ervoor te zorgen dat cyberbeveiligingsgebeurtenissen tijdig worden gedetecteerd.
  4. Response: draait om de controles die helpen reageren op cyberbeveiligingsincidenten. De Respond-functie ondersteunt het vermogen om de impact van een potentieel cyberbeveiligingsincident in te dammen.
  5. Recover: richt zich op de beveiligingen die helpen de veerkracht te behouden en diensten te herstellen die zijn getroffen door een cyberbeveiligingsincident.

 

Dit cyberfundamentals framework wordt reeds gebruikt als kader voor zowel de important als essentiële entiteiten. Kortom, elk bedrijf die in aanmerking komt voor de NIS2 directieven, zal deze 5 core functies van het framework moeten toepassen.

Zo zien we bij Kappa Data al veel vragen binnenkomen over de verschillende oplossingen voor zowel Detect en Response vereisten.

De Cyberbeveilingswet zal voor vele bedrijven een uitdaging zijn. Buiten het toepassen van bijkomende security technologieën, zal het bedrijfsmanagement riskassesments moeten uitvoeren op elk onderdeel van haar bedrijf. Zo zullen er tal van procedures en reglementen moeten worden opgesteld, die veel tijd en administratie zullen vragen van het bedrijf.

Tijdslijn implementatie Cyberbeveiligingswet

De tijdslijn voor de implementatie van de Cyberbeveiligingswet in Nederland is als volgt:

Verleden

Op 28 november 2022 werd de Cyberbeveiligingswet vastgesteld door de Europese Raad en op 27 december 2022 gepubliceerd in het Official Journal van de Europese Unie. Vanaf januari 2023 begon de implementatietermijn van 21 maanden, waarin de richtlijnen in nationale wetgeving moesten worden opgenomen.

Heden

In mei 2024 start een internetconsultatieperiode van 6 weken waarin burgers, bedrijven en overheidsinstellingen feedback kunnen geven op de conceptwetteksten van de nieuwe wetgeving. Na de internetconsultatie worden de reacties verwerkt en publiceert het ministerie van Justitie en Veiligheid een verslag. Vervolgens worden de conceptwetteksten verder uitgewerkt in een algemene maatregel van bestuur (AmvB), gevolgd door nog een consultatieperiode van 6 weken.

Toekomst

In 2025 zal het ministerie van Volksgezondheid, Welzijn en Sport (VWS) sectorspecifieke regelgeving opstellen voor de zorg in de vorm van een ministeriële regeling. Ministeries zullen per sector organisaties aanwijzen die onder de Cyberbeveiligingswet vallen. Organisaties in de zorg die als kritieke entiteiten worden aangewezen, krijgen hiervan bericht en moeten binnen 10 maanden aan de wet voldoen. Naar verwachting zullen de wetten in 2025 in werking treden, en vanaf dat moment moeten organisaties voldoen aan alle verplichtingen uit de wet, zoals zorgplicht, registratieplicht en meldplicht.

Het is belangrijk voor organisaties om nu al maatregelen te nemen om risico’s te beperken en zich voor te bereiden op de nieuwe wetgeving.

Meer informatie over NIS2 oplossingen

Heb je één van onze webinars gemist, maar zou je alsnog meer info wensen hoe Kappa Data uw bedrijf kan helpen? Geen nood, stuur uw vraag naar onderstaand e-mailadres: [email protected]

Conclusie

Het invoeren van een wetgeving rond cybersecurity zal zorgen dat bedrijven beter bestand worden tegen de massale cyberaanvallen van hackers. Doch, zal deze wetgeving zorgen voor behoorlijk wat kopzorgen bij vele ondernemers. Er liggen best wel wat uitdagingen om de awareness binnen bedrijven te verhogen, procedures en ISMS systemen in  het leven te roepen. Daarom bieden we bij Kappa Data onze kennis en oplossingen bij IT Partners aan, om vraagstukken op te lossen rond totale zichtbaarheid van netwerken, vulnerability management, detect-response-recover oplossingen, Network Access Control en tal van andere technologieën die als noodzakelijk worden beschouwd binnen de Cyberbeveiligingswetgeving.

Als Value Added Distributeur bevelen we onze partners aan om zelf hun klantenbestand te benaderen en het gesprek aan te gaan, hoe zij hun klanten kunnen ontlasten met technologie. Wil je zelf over meer informatie beschikken over een bepaalde of meerdere oplossingen? Contacteer dan jouw Accountmanager, voor het vastleggen van een gesprek. We helpen graag onze partners met de implementatie van de technologische oplossingen voor de NIS2 vereisten bij hun klanten.

Waarom kiezen voor Kappa Data?

Technische expertise

Kappa Data ondersteunt resellers en klanten met uitgebreide technische expertise, trainingen en begeleiding. Onze technische en presales teams staan altijd voor u klaar!

Persoonlijke aanpak

Bij Kappa Data geniet u van een zeer persoonlijke en professionele aanpak; van snelle offertes tot demo’s en een klantvriendelijke service met vaste contactpersonen. Wij zijn er voor u.

Uitmuntende service

Kappa Data is een value-added distributeur die u helpt oplossingen te vinden. Wij zorgen ervoor dat alle betrokken partijen tevreden zijn, en bemiddelen waar nodig mocht er een conflict ontstaan.

Wat onze klanten zeggen

Al meer dan 25 jaar een vertrouwde partner.

Snijders Compuservice, Jef Snijders

Onze partners