Inloggen voor partners
Contact
Contact

Nieuwe naam, zelfde missie, Fox Crypto wordt Sentyron. Meer informatie ->

NIS2 en de gevolgen voor gesegmenteerde netwerken

De NIS2-richtlijn is de nieuwste stap van de EU om de online veiligheid aan te scherpen, door het bereik uit te breiden naar meer bedrijven en strengere beschermingsmaatregelen te eisen. De doelen van NIS2 zijn het verbeteren van IT- en OT-beveiliging, het vereenvoudigen van rapportage en het creëren van consistente regels en sancties in de hele EU. Het heeft invloed op een verscheidenheid aan bedrijven door veiligheidsnormen vast te stellen en te bepalen hoe cyberkwesties moeten worden gecommuniceerd. Vraagt u zich af hoe deze veranderingen uw bedrijf kunnen dwingen om zijn digitale verdediging bij te werken? Wij nemen de belangrijkste veranderingen met u door en hoe u hierop kunt inspelen.

Wat is NIS2?

In de kern is NIS2 een regelgevende richtlijn die is ontworpen om de cyberbeveiliging in de Europese Unie te verbeteren. Het staat voor de tweede versie van de richtlijn inzake netwerk- en informatiesystemen. Het hoofddoel van NIS2 is het vergroten van de weerbaarheid tegen cyberdreigingen binnen de EU. Dit doel weerspiegelt een aanpassing en verbreding van het toepassingsgebied van de oorspronkelijke NIS-richtlijn in het licht van de zich ontwikkelende cyberbeveiligingsomgeving en toenemende cyberdreigingen.

De NIS2-richtlijn richt zich op een paar belangrijke gebieden om de cyberbeveiligingsmaatregelen te versterken:

  1. Breder toepassingsgebied: In tegenstelling tot zijn voorganger is NIS2 van toepassing op een breder scala aan sectoren en entiteiten. In NIS2 worden ze gecategoriseerd als 'essentiële' of 'belangrijke' entiteiten. Hieronder vallen sectoren als energie, transport, bankieren, digitale infrastructuur en gezondheid. De richtlijn is bedoeld voor alle organisaties die (als ze gecompromitteerd worden) significante risico's kunnen vormen voor de interne markt van de EU en het welzijn van haar burgers.
  2. Strengere eisen: NIS2 legt strengere beveiligings- en incidentrapportage-eisen op aan de entiteiten waarop het betrekking heeft. Van organisaties wordt een proactieve aanpak verwacht bij het beheren van cyberbeveiligingsrisico's. Op die manier zorgen ze ervoor dat ze de nodige maatregelen hebben om cyberincidenten te voorkomen, op te sporen en erop te reageren. Op deze manier zorgen ze ervoor dat ze de nodige maatregelen nemen om cyberincidenten te voorkomen, op te sporen en erop te reageren.
  3. Meer toezicht en handhaving: De richtlijn biedt autoriteiten de mogelijkheid om audits uit te voeren, inspecties uit te voeren en corrigerende maatregelen af te dwingen. Het doel is een consistentere toepassing van cyberbeveiligingsnormen in alle lidstaten.
  4. Focus op beveiliging van de toeleveringsketen: Entiteiten zijn verplicht om cyberbeveiligingsrisico's niet alleen binnen hun organisatie aan te pakken, maar ook bij hun leveranciers en dienstverleners.
  5. Rapportage van incidenten: NIS2 verplicht tot tijdige melding van cyberbeveiligingsincidenten aan nationale autoriteiten. Dit is bedoeld om de uitwisseling van informatie en de coördinatie in reactie op cyberdreigingen te verbeteren.

Het belang van gesegmenteerde netwerken

Het concept van datasegmentatie speelt een cruciale rol bij het verbeteren van de cyberbeveiligingsdefensie van organisaties. Segmentatie betekent het opdelen van een netwerk in kleinere delen of segmenten. Hoe meer je het netwerk opdeelt in deze veilige segmenten, hoe moeilijker het is voor een hacker om door te dringen tot alle gegevens. 

Waarom segmentering essentieel is

  • Beperkt het aanvalsoppervlak: Door het netwerk op te delen in segmenten wordt het aanvalsoppervlak aanzienlijk verkleind.
  • Gegevensbescherming: Met segmentatie kunnen we beveiligingsregels maken die overeenkomen met het belang van de gegevens in elk segment. Dit zorgt ervoor dat zeer vertrouwelijke informatie het hoogste niveau van bescherming krijgt.
  • Verbeterde respons bij incidenten: In het geval van een inbreuk kan segmentatie helpen de verspreiding van de aanval in te dammen. Dit maakt het eenvoudiger om aangetaste segmenten te isoleren en effectiever te reageren.

NIS2 en segmentatie

In de NIS2-richtlijn wordt sterk de nadruk gelegd op het nemen van robuuste cyberbeveiligingsmaatregelen in essentiële en belangrijke sectoren. Dit proces omvat een grondige evaluatie van de bedrijfsmiddelen die moeten worden beschermd, de potentiële bedreigingen waarmee ze worden geconfronteerd en hun veerkracht tegen deze bedreigingen. Netwerksegmentatie wordt impliciet aangemoedigd als een beste praktijk om deze doelstellingen te bereiken. NIS2 benadrukt de behoefte aan effectieve strategieën zoals segmentatie die cyberincidenten kunnen voorkomen, detecteren en erop kunnen reageren. 

Willemijn Rodenburg, Relationship Manager voor de Nederlandse Overheid bij Fox Crypto, geeft ons de details over de aanpak op maat voor verschillende sectoren: "De kern van de richtlijn is dat organisaties risicobewust moeten zijn en een risicogebaseerde aanpak moeten hanteren. De implementatie van de NIS met betrekking tot segmentatie kan verschillende dingen betekenen voor verschillende sectoren; de financiële sector zou bijvoorbeeld kunnen neigen naar DORA-regelgeving. Aan de andere kant zou de energiesector de nadruk kunnen leggen op segmentatie vanwege de combinatie van IT- en OT-systemen."

Ondanks de Nederlandse vertraging bij de implementatie van NIS2 wordt verwacht dat organisaties op 17 oktober 2024 compliant zijn. Willemijn adviseert organisaties om zich te richten op het identificeren en beschermen van hun meest kritieke bedrijfsmiddelen. "Ongeacht de vertraging in Nederland, moet elke organisatie op 17 oktober voldoen aan NIS2. Het komt neer op het volgende: kijk waar je kroonjuwelen zitten, dat wil zeggen; je belangen die beschermd moeten worden, en doe daar iets aan gezien de regelgeving van NIS2."

Hoe de DataDiode voorop loopt op het gebied van NIS2 en segmentatie

Het NIS2 raamwerk richt zich op beveiligingsmaatregelen op hoog niveau, met name in Identiteitsbeheer, Authenticatie en Toegangscontrole. Deze aanpak beperkt de toegang tot fysieke en logische middelen tot geautoriseerde gebruikers, diensten en hardware. Het benadrukt het verdelen van netwerken in segmenten als een belangrijke methode om veiligheidsdoelen te bereiken. Het toevoegen van een DataDiode en het verdelen van het netwerk is een slimme zet om de cyberbeveiliging op essentiële gebieden te verbeteren.

Willemijn legt uit: "Als je kijkt naar wat er nu in de wet staat, is segmentatie vooral gekoppeld aan onze communicatienetwerken en -diensten. Daar zie je dat segmentatie wordt benadrukt en dat is ook waar de DataDiode om de hoek komt kijken. De DataDiode is een voorbeeld van een implementatietool die je kan helpen om dat goed te organiseren. De implementatie van DataDiodes kan je strategie aanzienlijk verbeteren door te zorgen voor een eenrichtingsstroom van informatie. Dit verbetert de beveiliging tegen potentiële cyberbedreigingen, en dat is het doel van NIS2. Houd in gedachten dat deze maatregelen niet alleen over compliance gaan, maar over een proactieve aanpak om de digitale infrastructuur te beveiligen tegen evoluerende bedreigingen."

Voorbeelden van hoe de DataDiode risico's elimineert

De DataDiode biedt oplossingen voor verschillende risico's met betrekking tot het beveiligen van geheimen en het beschermen van bedrijfsmiddelen binnen organisaties. Hier volgen enkele voorbeelden van hoe de DataDiode deze risico's in verschillende sectoren kan aanpakken:

  1. Scheiding van IT- en OT-omgevingen: In scenario's waar IT- en OT-omgevingen gescheiden moeten blijven om de integriteit en veiligheid van operationele systemen te garanderen, biedt de DataDiode een effectieve oplossing. Door de unidirectionele gegevensstroom kunnen kritieke operationele gegevens veilig naar IT-systemen worden verplaatst. Dit zonder het risico van malware of aanvallen die terug kunnen infiltreren in het OT-systeem.
  2. Afgeschermde systemen: Voor systemen die om veiligheidsredenen in de lucht moeten blijven, zoals systemen die worden gebruikt in kritieke infrastructuur of beveiligde overheidsnetwerken, kunnen DataDiodes de veilige update van software of databases mogelijk maken. Door gegevens in de beveiligde omgeving te laten zonder de mogelijkheid van data-exfiltratie, kunnen systemen up-to-date worden gehouden en worden beveiligd tegen kwetsbaarheden.
  3. Samenwerking in de toeleveringsketen: De DataDiode beveiligt het delen van informatie binnen de toeleveringsketen. Hierdoor kan een productiebedrijf gevoelige gegevens veilig delen met leveranciers en logistieke partners. Het zorgt voor gegevensintegriteit en bescherming tegen ongeautoriseerde toegang of cyberbedreigingen.

Waarom bedrijven een DataDiode moeten integreren in hun beveiligingsstrategie 

Het integreren van een DataDiode in de cyberbeveiligingsstrategie van een bedrijf kan de effectiviteit op verschillende belangrijke gebieden aanzienlijk verbeteren:

  • Bescherming van kritieke gegevens: De DataDiode zorgt ervoor dat gevoelige informatie, zoals klantgegevens, financiële gegevens en bedrijfsgeheimen, slechts in één richting kan reizen. 
  • Financiële schade voorkomen: Door het risico op cyberaanvallen te verkleinen, helpt de DataDiode de directe en indirecte kosten te voorkomen die gepaard gaan met datalekken. Hieronder vallen kosten in verband met systeem- en gegevensherstel, maar ook potentieel verlies van inkomsten en reputatie.
  • Naleving: Het gebruik van de DataDiode kan organisaties helpen om te voldoen aan strenge voorschriften voor gegevensbeveiliging, zoals GDPR of HIPAA. Het biedt een veilige methode om gevoelige informatie over te dragen zonder risico op ongeautoriseerde toegang.

De toekomst van cyberbeveiliging: De rol van NIS2 en de DataDiode

Het is moeilijk te zeggen wat het effect van NIS2 is op de toekomst in combinatie met de DataDiode. Maar nu we weten wat we weten, vroegen we Willemijn naar haar toekomstvisie. Ze legt uit: "Ik denk dat het belang van een DataDiode zal toenemen, vooral omdat alles met elkaar verbonden is. In deze omgeving is het cruciaal om informatie op één plek te bewaren of op een veilige manier naar een andere plek over te brengen. Ik denk niet dat NIS2 zover zal gaan om het hebben van een DataDiode in bepaalde situaties specifiek verplicht te stellen. 

De uitdaging is dat dergelijke wetten toekomstbestendig moeten zijn en dat is de kracht van NIS2. Het vertelt je om naar je organisatie te kijken, je 'kroonjuwelen' te identificeren (de bedrijfsmiddelen die je moet beschermen), te bedenken hoe je organisatie werkt en op basis daarvan maatregelen te nemen. 

"De richtlijn bestaat al en ik denk dat de implementatie van de wet dit jaar richting zal geven. Ik vermoed dat tegen het einde van dit jaar duidelijk zal worden hoe regelgevers hun toezichthoudende rol willen vervullen. Deze toezichthouders moeten bepalen hoe zij denken dat de sectoren die onder hun verantwoordelijkheid vallen aan hun zorgplicht kunnen voldoen. Ze zullen toezicht houden op duizenden organisaties. Misschien bezoeken ze niet elke organisatie afzonderlijk; misschien doen ze dat in groepen. De tijd zal het leren, maar ze zullen toezicht houden en bewijs van naleving eisen, of dat nu het naleven van de ISO 27001-normen is of het hebben van een cyberbeveiligingsparagraaf in hun algemene risicoprofiel," aldus Willemijn Rodenburg.

Doe mee aan ons webinar over NIS2 & netwerksegmentatie

Meer weten? Volg ons op 7 november om 15:00 voor een inzichtelijk webinar over de nieuwe NIS2-richtlijn en de cruciale rol van netwerksegmentatie. Samen met Europees Parlementslid Bart Groothuis bespreken we:

  • Wat betekent de NIS2-richtlijn voor jouw organisatie en waarom is deze belangrijk?
  • Hoe verbetert netwerksegmentatie uw beveiliging in lijn met de NIS2-vereisten?
  • Wat zijn de risico's als uw organisatie niet voldoet aan de NIS2-richtlijn?
  • Welke voordelen biedt de implementatie van de NIS2-richtlijn voor uw organisatie?
  • Welke eerste stappen moet je organisatie nemen om te voldoen aan NIS2 en segmentatie effectief te implementeren?

Klik hier om je in te schrijven.

Terug naar nieuws