De energiesector - wat is nieuw bij NIS2?
Met een bredere dekking van sectoren, strengere vereisten voor risicobeheer en het melden van incidenten en strengere straffen voor niet-naleving, is de nieuwe NIS2-richtlijn de meest uitgebreide Europese cyberbeveiligingsrichtlijn tot nu toe. De energiesector was al een onderwerp voor NIS1, maar dit is waar bedrijven binnen de energiesector op moeten letten met de nieuwe NIS2-richtlijn.
Elektriciteit, olie, gas, stadsverwarming, watervoorziening en waterstof. Vanwege de kritieke infrastructuurstatus is de energiesector zeer relevant voor de NIS2-richtlijn, aangezien deze essentiële diensten aan het publiek levert en een belangrijk doelwit is voor cyberaanvallen.
Hoewel de energiesector wordt geconfronteerd met verschillende kritieke technische uitdagingen, zoals risico's in de toeleveringsketen, verouderde technologie en kwetsbaarheden in hun industriële controlesystemen (ICS), kan de bescherming tegen de aanvalstypes die doorgaans gericht zijn op de energiesector niet alleen afhankelijk zijn van technische oplossingen. Een sector die sterk onderling verbonden is, zoals de energiesector, moet er ook voor zorgen dat de werknemers die de systemen bedienen zich bewust zijn van de cyberbeveiligingsrisico's.
De meest specifieke NIS2-implicaties voor de energiesector omvatten de veiligheid van energiesystemen en de algemene impact op de energiemarkt, evenals de naleving en handhaving van NIS2 en gegevensbescherming en privacy, waarbij consumenten het recht hebben om over eventuele incidenten te worden geïnformeerd en om verwijdering van hun persoonsgegevens te vragen.
Bewustmakingstraining — een van de 10 belangrijkste maatregelen op het gebied van cyberhygiëne
De NIS2-richtlijn vereist dat de energiesector en andere essentiële en belangrijke entiteiten 10 basisbeveiligingsmaatregelen nemen om specifieke vormen van waarschijnlijke cyberbedreigingen aan te pakken.
- Risicobeoordelingen en beveiligingsbeleid voor informatiesystemen
- Beleid en procedures voor het evalueren van de effectiviteit van beveiligingsmaatregelen.
- Beleid en procedures voor het gebruik van cryptografie
- Een plan voor het afhandelen van beveiligingsincidenten
- Beveiliging rond de aanschaf van systemen en de ontwikkeling en werking van systemen.
- Beveiligingsprocedures voor werknemers met toegang tot gevoelige of belangrijke gegevens,
- Een plan voor het beheer van de bedrijfsactiviteiten tijdens en na een beveiligingsincident.
- Het gebruik van meervoudige authenticatie
- Beveiliging rond toeleveringsketens en de relatie tussen het bedrijf en de directe leverancier.
- Cyberbeveiligingstraining en een praktijk voor elementaire computerhygiëne.
Training over cyberbeveiliging staat niet alleen 'op de lijst'. Het is algemeen bekend dat bewustmakingstraining een essentieel onderdeel is bij het creëren van de veiligheidscultuur van de organisatie die organisaties nodig hebben om te voldoen aan veel van de andere beveiligingsmaatregelen die door NIS2 zijn opgelegd. Zonder het hele jaar door bewustmakingstraining zullen veel van de operationele procedures uiteindelijk mislukken — als gevolg van menselijke fouten.
Onze nieuwe bijgewerkte editie van de Information Security Awareness training van 2024 is gericht op alle werknemers, managers, leidinggevenden en raden van bestuur en maakt deel uit van de NIS2-conformiteit.
Of waarom niet een kickstart maken met onze NIS2 Introductiecursus? Dit geeft uw management een beter inzicht in wat uw organisatie nodig heeft om NIS2-compatibel te zijn.
