De publieke sector - wat is er nieuw in NIS2?

De overheidssector wordt geconfronteerd met verschillende soorten uitdagingen, waarvan er vele te maken hebben met een algemeen laag gebrek aan bewustzijn, beperkte middelen en grote complexe ICT-systemen. Drie aanvalsvectoren onderscheiden zich: Ransomware, phishing en door de staat gesponsorde aanvallen moeten hoog op de openbare cyberbeveiligingsagenda staan. Omdat het een sector is waar werknemers zelden worden voorgelicht over cyberdreigingen, is de overheidssector bijzonder kwetsbaar voor cyberaanvallen.

De NIS2 zal grote gevolgen hebben voor de overheidssector, aangezien inbreuken op de beveiliging in deze sector gevoelige informatie van burgers in gevaar kunnen brengen en essentiële openbare diensten kunnen verstoren, waardoor destabilisatie op lokaal en nationaal niveau kan ontstaan. Volgens de NIS2-richtlijn moet de overheidssector verbeterde beveiligingsmaatregelen nemen om gevoelige informatie, zoals persoonsgegevens van burgers, financiële informatie en kritieke infrastructuurgegevens, te beschermen tegen cyberaanvallen.

Daar komt ook de vraag naar continue risicobeoordelingen bij. Het doel hiervan is ervoor te zorgen dat organisaties de capaciteit hebben om gebieden te identificeren waar verbetering nodig is, om ervoor te zorgen dat essentiële diensten beschikbaar zijn en functioneren, zelfs in het geval van een cyberincident.

Om aan de komende NIS2-vereisten te voldoen, moeten organisaties in de overheidssector investeren in cyberbeveiligingstraining voor werknemers. Dit is vooral belangrijk gezien de uiteenlopende mate van cyberbewustzijn onder werknemers in deze sector, wat op zichzelf al een aanzienlijk veiligheidsrisico vormt. De nieuwe focus op opleiding van werknemers en naleving van de regelgeving is bedoeld om de verdediging van de sector te versterken, terwijl de vereiste van regelmatige risicobeoordelingen en incidentresponsplanning kan helpen ervoor te zorgen dat de sector waakzaam blijft.

Bewustmakingstraining — een van de 10 belangrijkste maatregelen op het gebied van cyberhygiëne

De NIS2-richtlijn vereist dat de overheidssector en andere essentiële en belangrijke entiteiten 10 basisbeveiligingsmaatregelen nemen om specifieke vormen van waarschijnlijke cyberbedreigingen aan te pakken.

- Risicobeoordelingen en beveiligingsbeleid voor informatiesystemen.

- Beleid en procedures voor het evalueren van de effectiviteit van beveiligingsmaatregelen.

- Beleid en procedures voor het gebruik van cryptografie.

- Een plan voor de behandeling van beveiligingsincidenten.

- Beveiliging rond de aanschaf van systemen en de ontwikkeling en werking van systemen.

- Beveiligingsprocedures voor werknemers met toegang tot gevoelige of belangrijke gegevens.

- Een plan voor het beheer van de bedrijfsactiviteiten tijdens en na een beveiligingsincident.

- Het gebruik van meervoudige authenticatie.

- Beveiliging rond toeleveringsketens en de relatie tussen het bedrijf en de directe leverancier.

- Cyberbeveiligingstraining en een praktijk voor elementaire computerhygiëne.

Cyberbeveiligingstrainingen staan niet alleen 'op de lijst'. Het is algemeen bekend dat bewustmakingstraining een essentieel onderdeel is bij het creëren van de veiligheidscultuur van de organisatie die organisaties nodig hebben om te voldoen aan veel van de andere beveiligingsmaatregelen die door NIS2 zijn opgelegd. Zonder het hele jaar door bewustmakingstraining zullen veel van de operationele procedures uiteindelijk mislukken — als gevolg van menselijke fouten.

Onze nieuwe bijgewerkte editie van de Information Security Awareness training van 2024 is gericht op alle werknemers, managers, leidinggevenden en raden van bestuur en maakt deel uit van de NIS2-conformiteit.

Of waarom niet een kickstart maken met onze NIS2-introductiecursus? Dit geeft uw management een beter inzicht in wat uw organisatie nodig heeft om NIS2-compatibel te zijn.