Tegen oktober 2024 moet iedere Europese lidstaat de nieuwe Europese NIS2-richtlijnen omzetten in lokale wetgeving. Dat geeft organisaties ongeveer een jaar de tijd om compliant te worden. Zowel operations en IT als de security teams zullen aardig wat werk moeten verzetten.
Mocht je nog niet gehoord hebben van NIS2, dan eerst even een uitleg. NIS2 is een verruiming van de Network and Information Systems Directive die al sinds 2016 security-regels oplegt aan organisaties die deel uitmaken van de kritische infrastructuur van landen van de EU. NIS2 legt dezelfde regels nu ook op aan een grotere groep van bedrijven, maar vooral ook aan meer overheidsorganisaties. Men wil tegelijkertijd de bewustwording rond cybersecurity verruimen. NIS2 treedt in 2024 in werking, dus enige spoed is op zijn plaats.
NIS2 is in de eerste plaats een juridisch raamwerk. Toch zijn het vooral IT en security die aan de bak moeten. Net zoals GDPR een aansporing was voor organisaties om hun privacy-beleid eens kritisch tegen het licht te houden, zo vormen de nieuwe regels van NIS2 een goede gelegenheid om de cyberhygiëne op orde te zetten. Met onderstaande vijf tips kom je al een heel eind.
1. Zorg voor een complete asset discovery & inventory
Aanvallen tegen een organisatie starten vaak bij een endpoint: een PC, een laptop… Uit onderzoek blijkt dat bijna 7 op 10 organisaties met inbreuken te maken krijgen via endpoints in hun netwerk waarvan ze het bestaan niet eens wisten. Ga daarom op zoek naar oplossingen die alle endpoints ontdekken en inventariseren en richt een solide en regide proces in om continue te scannen op onbekende endpoints op het netwerk.
2. Centraliseer het beheer van endpoints
Weten welke endpoints er zijn, is cruciaal, maar ze vervolgens allemaal constant up to date houden is nog heel wat anders. Zeker wanneer je als overheid duizenden endpoints hebt die over verschillende locaties verspreid zijn en je deze allemaal van upgrades wilt voorzien zonder de gebruikers in hun werk te storen. Kies daarom voor één enkel platform dat identificeert waar je data zich bevinden, dat ieder device in een oogwenk patcht, dat kritieke security-maatregelen implementeert – en dat alles vanaf één enkele console.
3. Stop met point solutions
Veel instellingen hebben de afgelopen jaren een hele reeks aan individuele netwerk- en security-tools (point solutions) in gebruik genomen. Die werken vrijwel nooit goed met elkaar samen, waardoor inbreuken vaak niet tijdig ontdekt worden en het lastig is om een volledig overzicht te krijgen. De oplossing hiervoor heet Converged Endpoint Management: vanaf een centrale locatie kan de volledige endpoint-infrastructuur beheerd worden. Dat helpt de inspanningen rond compliance te stroomlijnen en beperkt de tijd en de middelen die nodig zijn om tot compliance te komen.
4. Automatiseer patches en updates
Om zeker te zijn dat alle endpoints altijd alle noodzakelijke updates krijgen, is het belangrijk om deze taak te automatiseren. Handmatig werken kost niet alleen veel tijd, het verhoogt ook de kans op menselijke fouten. Werk daarom met een geautomatiseerde workflow om patches over meerdere systemen te plannen, te implementeren en – heel belangrijk – te verifiëren. Bovendien genereert een dergelijke oplossing gedetailleerde rapporten over de status van patches. Dat maakt het een stuk makkelijker om compliant te blijven en te rapporteren. Het bespaart bovendien veel tijd bij een audit.
5. Wees alert op risico’s in de hele keten
Net als bedrijven werken overheidsorganisaties steeds vaker samen met andere instellingen, of met bedrijven en losse medewerkers die toegang krijgen tot het netwerk. Het is belangrijk er zeker van te zijn dat ook deze partners compliant zijn en dat zij zichzelf afdoende beschermen. Anders loop je het risico dat bijvoorbeeld virusbesmettingen binnen komen via deze externe partner. De fout mag dan wel bij de derde partij liggen, voor NIS2 maakt dat geen verschil: jouw organisatie blijft verantwoordelijk.
De verplichtingen die NIS2 oplegt, worden volgend jaar van kracht, en bij veel organisaties is er nog aardig wat werk aan de winkel. Het is dus de hoogste tijd om aan de slag te gaan. Rome is niet op één dag gebouwd. Ook compliant worden is een kwestie van stap voor stap voortgaan en volhouden, in de wetenschap dat de weg naar compliance lang is. Maar met de juiste reisgezel, Tanium bijvoorbeeld, wordt die trip alvast een stuk makkelijker.
