NIS2: aangescherpte richtlijnen omtrent encryptie

Eind 2022 is de nieuwe NIS2-richtlijn vastgesteld door de Europese Raad en begin dit jaar is de implementatietermijn gestart, waarin deze richtlijn wordt opgenomen in nationale wetgeving.

Hoewel deze wet naar verwachting pas in 2024 daadwerkelijk in werking treedt, is het belangrijk voor organisaties om zich hier nu al op voor te bereiden.

Wat houdt de NIS2 richtlijn precies in?

NIS2 staat voor Network and Information Systems Directive 2. Het is een Europese wet die cybersecurity- en risicobeheerseisen vaststelt voor bepaalde organisaties die actief zijn in essentiële en belangrijke sectoren. NIS2 is een bijgewerkte versie van de eerste NIS-richtlijn en omvat nieuwe doelstellingen, uitgebreide dekking en een sterkere nadruk op managementverantwoordelijkheid. Het heeft als doel de cyberveiligheid van Europa te versterken tegen een steeds toenemend bedreigings- en risicolandschap door de beveiliging te verbeteren van netwerk- en informatiesystemen die worden gebruikt om essentiële diensten te leveren. De komst van de richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties.

Concreet betekent de komst van de NIS2 richtlijn dat organisaties (nog meer) maatregelen moeten nemen om hun cyberweerbaarheid naar een hoger niveau te brengen.

Ook is de NIS2 richtlijn van toepassing op een groot aantal sectoren, waaronder Energie, Transport, Bankwezen, Infrastructuur financiële markt, Gezondheidszorg, Drinkwater, Digitale infrastructuur, Afvalwater, Overheidsdiensten, Ruimtevaart en Beheer van ICT diensten. Kenmerkend voor al deze sectoren is dat ze van belang zijn voor de economie en de samenleving.

Meldplicht en Zorgplicht

Conform de richtlijn hebben organisaties een Meldplicht en een Zorgplicht. Zo schrijft de richtlijn voor dat entiteiten incidenten, die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren, binnen 24 uur gemeld moeten worden bij de toezichthouder.

Ten aanzien van de Zorgplicht zijn entiteiten verplicht om zelf een risico analyse uit te voeren. Op basis daarvan kunnen zij passende maatregelen nemen om de continuïteit van hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.

Doet u zaken met een organisatie die essentiële en belangrijke activiteiten levert? Ook dan zult u de algemene beveiligingsmaatregelen op orde moeten hebben.

Encryptie en monitoring

In het kader van de Zorgplicht is een specifieke rol weggelegd voor de beveiliging en de monitoring van connectiviteit. Zo omvat NIS2 specifieke richtlijnen en procedures voor het gebruik van encryptie. Niet geheel verwonderlijk want veel organisaties nemen zeer uitgebreide beveiligingsmaatregelen om hun eigen netwerk te beveiligen, maar realiseren zich niet altijd dat de connectiviteit – dus de huurlijnen tussen locaties die data uitwisselen – ook een potentieel securityrisico vormt.

Neemt u connectiviteit af bij een aanbieder van telecom diensten, weet u dan bijvoorbeeld welke netwerkapparaten uw data op het publieke net allemaal passeren? Door welke Points of Presence (PoP’s) uw dataverkeer loopt? Kunnen hackers daarbij?

De oplossing is om uw data te voorzien van encryptie. Door uw data post-quantum encrypted over de lijn te transporteren bent u er zeker van dat uw data te allen tijde veilig is. Om de beveiliging maximaal te waarborgen, biedt Arcadiz geen shared links, maar uitsluitend end-to-end privé verbindingen, waarbij encryptie kan worden toegepast op zowel laag 1 als laag 2.

Low-latency

Een veelgestelde vraag is in hoeverre encryptie impact heeft op de latency en performance. Hier komt de expertise van Arcadiz naar voren. Onze specialisten zijn in staat om encryptie toe te passen, zonder de latency in uw netwerk merkbaar te verhogen. Met meer dan 20 jaar ervaring is Arcadiz bekend met alle componenten in een netwerk die van invloed zijn op de latency. Het optimaliseren van alle elementen, ook in bestaande legacy systemen die (nog) niet vervangen kunnen worden, behoort tot onze specialismen. Onze pragmatische aanpak draagt bovendien nog eens extra bij aan het beheersen van de kosten.

Data integriteit

Naast beveiliging voor confidentialiteit is ook de betrouwbaarheid van de data een belangrijk aspect. Data kan namelijk ook in stilstand worden gecorrumpeerd door een calamiteit. Om dit risico te vermijden, is het van belang om de data op twee, bij voorkeur voldoende geografisch gescheiden, locaties synchroon te houden met een derde locatie als back-up.

Hiervoor biedt Arcadiz zijn know-how aan om tussen locaties hoogkwalitatieve en beveiligde connectiviteit aan te bieden die dit toelaat. De gescheiden verbindingen worden bovendien continu gemonitored. Met Arcadiz Advanced Line Monitoring worden glasvezel verbindingen 24/7 bewaakt. Elke verandering in de glasvezel is direct zichtbaar. Of het nu gaat om een breuk in de lijn, of om (een poging tot) aftapping van een verbinding.

Nu alvast upgraden

Wilt u er zeker van zijn dat u ook in de toekomst compliant blijft met wet- en regelgeving, dan kunt u nu al beginnen met het upgraden van uw connectiviteit. Wilt u meer weten over de mogelijkheden of een keer sparren met één van onze specialisten? Neem dan gerust contact met ons op!

Bronnen voor dit artikel:

• https://www.digitaltrustcenter.nl/wat-gaat-de-nis2-richtlijn-betekenen-voor-jouw-organisatie
• https://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie/welke-sectoren-en-organisaties-vallen-onder-de-nis2-richtlijn