Over NIS2
Op 18 oktober 2024 gaat NIS2 van start. Een Europese richtlijn die bedrijven verplicht om hun cyberstrategie onder de loep te nemen. Maar wat betekent dat voor jouw bedrijf?
De eerste NIS-versie dateert al van 2019 en moest bedrijven verantwoordelijk voor kritieke infrastructuren aanmoedigen om zich beter te beveiligen tegen cyberdreigingen. Wanneer de dienstverlening in sectoren als energie, mobiliteit, drinkwaterbeheer of bij de overheid zou verstoord raken, kon dit immers ernstige implicaties hebben voor de hele bevolking. Dat daar reden toe is, bleek de afgelopen jaren veelvuldig: bedrijven waar cyberveiligheid nog niet op punt stond, waren het slachtoffer van cyberaanvallen.
Breder speelveld
De belangrijkste nieuwigheid binnen NIS2 is dan ook het grotere speelveld. De geïdentificeerde ‘essentiële sectoren’ zijn hernoemd naar ‘essentiële entiteiten’ en uitgebreid met ‘belangrijke entiteiten’: afvalbeheer, chemie, voeding, digitale aanbieders en post- en koeriersdiensten werden toegevoegd aan het lijstje. In België alleen al vallen daar zo’n 2.000 bedrijven rechtstreeks onder. Zij zullen vanaf oktober moeten bewijzen dat ze voldoen aan de strengere voorwaarden rond cyberbeveiliging. Maar ook hun toeleveranciers zullen mee moeten in deze evolutie. Bovendien hangen er zware boetes boven het hoofd van bedrijven en zelfs hun bestuurders.
Maatregelen nemen, incidenten melden
Wie er onder valt, moet aan twee grote verplichtingen tegemoet komen: beveiligingsmaatregelen nemen en eventuele incidenten binnen de 24 uur melden bij het Centrum voor Cybersecurity België. Welke maatregelen dat precies zijn, hangt af van bedrijf tot bedrijf. De wetgeving schrijft eerst een risicoanalyse voor om ‘zwakke’ plekken in kaart te brengen en dan gepaste actie te ondernemen. Niet alleen preventief: er moeten protocollen zijn die in geval van incidenten in werking treden. En uiteraard staat het bewust maken en trainen van de medewerkers om met cyberveiligheid om te gaan hoog op het verlanglijstje.
Data klanten achter slot en grendel
Als toeleverancier aan die sectoren heeft ook Eleantis zijn huiswerk rond. In samenwerking met IT-partner J.V. IT Consulting werd een plan opgesteld om de data van klanten veilig achter slot en grendel te houden. Verregaande investeringen focusten op drie domeinen: de opdeling van het netwerk in segmenten, het stopzetten van alle onveilige toegang door de introductie van VPN-verbindingen en multifactor-authenticatie en geavanceerde detectiesystemen om indringers op te sporen.
IT versus OT
Ervaring die het evenzeer ten dienste stelt van zijn klanten, om ook jouw netwerk veilig te stellen. De wereld van IT (information technology) en OT (operational technology) mogen dan heel verschillend zijn, in een Industrie 4.0-omgeving komen ze steeds dichter bij elkaar. Dan wil je een partner die weet hoe jouw productieprocessen te beveiligen, zonder in te boeten aan werkbaarheid. In een kantooromgeving zijn virusscans en firewalls vanzelfsprekend, in een productieomgeving jammer genoeg niet. Nochtans is ook de beveiliging van de PLC-sturing een must om te verhinderen dat indringers met een ransomware aanval jouw productie gijzelen. Uit een studie van Fortinet blijkt dat cybercriminelen zich steeds vaker specifiek op OT-systemen richten met een toename van 17% in 2022 naar 24% in 2023.
Bundelen krachten
Maar hoe ga je van een verouderd systeem zonder beveiligingsprotocollen naar een moderne productie met cyberveiligheidsprotocollen aan boord? Eleantis bundelt samen met zijn klanten alle nodige OT- en IT-kennis over hun specifieke manier van werken. Vertrekken doen ze vanuit een audit die checkt hoe cyberveilig je vandaag al opereert en waar nog mogelijke gevaren loeren.
Veilige bruggen bouwen
Stap 2: het dichten van die gaten. Ze gaan in nauw overleg met jouw productievloer en met jouw IT-afdeling om te bepalen welke communicatie door mag en welke niet, wie kan inloggen en wie niet, of die server wel nog nodig is hoe de toegang op afstand te beperken … Altijd wakend over het evenwicht tussen veiligheid en werkbaarheid. Zo worden er weliswaar bruggen gebouwd tussen de afgeschermde compartimenten in de productie, maar wel voorzien van de nodige firewalls, encryptie, multifactor-authenticatie, managed switches …
Back-up plan
Laatste aandachtspunt is het hebben van een back-up plan, de sluitsteen van je cyberbeveiligingsstrategie. Bewaar back-ups op verschillende locaties. Kies voor zogenaamde immutable back-ups (die op geen enkele manier nog gewijzigd kunnen worden) en zorg ervoor dat verschillende versies naast elkaar kunnen bestaan (‘versioning’). Zat de malware al verscholen in de laatste versie, dan kan je teruggrijpen naar de vorige. Vergeet ze ook niet uitvoerig te testen. Kwestie van te verzekeren dat je, indien er toch een cyberincident plaatsvindt, wel snel weer up-and-running bent.
Vijf voor twaalf
De komst van NIS2 wil van cyberveiligheid een natuurlijke reflex maken voor bedrijven. Nu vormt een gebrek aan kennis over de risico’s (ver-van-mijn-bed) en kennis over hoe er iets aan te doen vaak een rem op meer cyberveiligheid. Uiteraard speelt ook het budget zijn rol, want zoals je ziet moet er een hele hoop gebeuren. Maar wie het niet doen, zal een veel hogere rekening gepresenteerd krijgen, als hackers dan toch toeslaan. Dat ze de maakindustrie in het vizier hebben, is de voorbije jaren helaas genoeg gebleken.
Via de website van het Centrum voor Cybersecurity vind je meer uitgebreide informatie over alles wat bij de NIS2 wetgeving komt kijken. Wil je ook de OT-kant van jouw bedrijf cyberveilig laten draaien, neem dan contact met de specialisten van Eleantis.
Hulp nodig?.
Wil je ook de OT-kant van jouw bedrijf cyberveilig laten draaien, neem dan contact met de specialisten van Eleantis.
Contacteer onsTable of contents
- Over NIS2
- Breder speelveld
- Maatregelen nemen, incidenten melden
- Data klanten achter slot en grendel
- IT versus OT
- Bundelen krachten
- Veilige bruggen bouwen
- Back-up plan
- Vijf voor twaalf
Meer info?
Schrijf je in voor onze nieuwsbrief