4min Security

NIS2: Tussen noodzaak en uitdagingen – waarom bedrijven nu in actie zouden moeten komen

Een kale man met een bril lacht naar de camera. Hij draagt een donker pak en een lichtblauw overhemd.
NIS2: Tussen noodzaak en uitdagingen – waarom bedrijven nu in actie zouden moeten komen

De klok tikt voor Nederlandse bedrijven en beleidsorganisaties om hun cybersecurity op orde te krijgen. De nieuwe Europese NIS2-richtlijn, bedoeld om digitale veiligheid in vitale sectoren te waarborgen, vereist een fundamentele verandering in hoe organisaties omgaan met risico’s en cyberincidenten. Hoewel de invoering in Nederland is vertraagd, is het een misvatting dat dit gelijkstaat aan extra tijd. Zodra de richtlijn van kracht wordt, moeten bedrijven per direct aan alle eisen voldoen, hoewel sommige toezichthouders in de eerste maanden wellicht een meer terughoudende aanpak zullen hanteren. Organisaties die zich nog onvoldoende hebben voorbereid, riskeren straks om onder grote tijdsdruk complexe eisen te moeten implementeren. Dit kan hun bestendigheid tegen cyberaanvallen ernstig beïnvloeden. Voor multinationals met gespecialiseerde teams kan snel schakelen wat makkelijker zijn, maar voor kleinere- en middelgrote bedrijven kan NIS2 een zware opgave zijn. Hoe kan je de NIS2-eisen als bedrijf strategisch benutten om weerbaar te zijn in een wereld waar de regelgeving alleen maar strenger zal worden?

Een complexe set van uitdagingen en strategische oplossingen

De NIS2-richtlijn tilt de verantwoordelijkheid voor cybersecurity naar een hoger niveau, waarbij het management van een bedrijf zelfs persoonlijk aansprakelijk kan worden gesteld voor het niet naleven van de regelgeving. Dit vereist een cultuurverandering waarin cybersecurity wordt benaderd als een strategisch bedrijfsrisico. Bedrijven moeten continu hun risico’s evalueren en verbeteringen doorvoeren in hun cyberweerbaarheid. Voor organisaties zonder vaste structuren voor risicobeheer en incidentrapportage, zoals veel kleine en middelgrote bedrijven, vormt dit een serieuze uitdaging.

Om deze barrières effectief aan te pakken, kunnen de volgende strategieën worden ingezet:

  • Risico’s en blootstelling in kaart brengen
    Bedrijven moeten allereerst hun risicoblootstelling gedetailleerd in kaart brengen. Dit vormt de basis voor verdere verbeteringen en helpt bij het stellen van prioriteiten binnen het pakket van beveiligingsmaatregelen. Denk hierbij aan het identificeren van gevoelige data, het bepalen wie er precies toegang heeft tot welke systemen, en het controleren op basismaatregelen zoals netwerksegmentatie en multi-factor authenticatie.
  • Gebruikmaken van frameworks zoals MITRE ATT&CK
    Frameworks zoals MITRE ATT&CK bieden bedrijven een gestructureerde aanpak om dreigingen beter te begrijpen en hun cyberweerbaarheid doelgericht te versterken. Het framework categoriseert tactieken die hackers toepassen en biedt richtlijnen voor detectie en preventie. Hierdoor kunnen organisaties een effectieve strategie opbouwen tegen veelvoorkomende en geavanceerde aanvalsmethoden. Wereldwijd wordt het MITRE ATT&CK-framework gebruikt door cybersecurity professionals om beveiligingsstrategieën te verfijnen en hiaten in de verdediging te identificeren. Ook bij Palo Alto Networks hebben we veel ervaring met het toepassen van het MITRE ATT&CK-framework in onze oplossingen, zoals bij Cortex XDR.
  • Inzetten van automatisering en AI
    Het tekort aan IT-expertise bemoeilijkt de naleving van NIS2 aanzienlijk, vooral omdat veel bedrijven al kampen met een gebrek aan gekwalificeerde cybersecurity-professionals. Publieke en private organisaties zullen in de komende tien jaar naar verwachting moeten werken met 30% minder IT-experts. Automatisering en AI worden hierbij gezien als cruciale oplossingen om routinetaken te verlichten, waardoor de schaarse experts zich kunnen richten op de meest urgente dreigingen. Door 90% van het werk te automatiseren, kunnen organisaties hun focus leggen op de aanpak van kritieke incidenten, waarbij AI ook wordt ingezet om AI-gedreven bedreigingen effectief te bestrijden.
  • Realtime dreigingsinformatie met cloudtechnologie
    Daarnaast is cloudtechnologie essentieel voor realtime dreigingsinformatie. Door gebruik te maken van de cloud kunnen bedrijven sneller reageren op dreigingen, wat cruciaal is in de huidige digitale omgeving. Zonder toegang tot de cloud blijft de responsiviteit beperkt. Dit maakt  dat bedrijven kwetsbaarder zijn voor aanvallen.

Conclusie: zie cybersecurity als fundamentele bedrijfswaarde

Cybersecurity moet worden gezien als een strategische waarde die diep verankerd is binnen elke organisatie. Het naleven van de NIS2-richtlijn biedt bedrijven niet alleen de mogelijkheid om aan wettelijke verplichtingen te voldoen, maar ook om hun reputatie te beschermen tegen de toenemende risico’s van cyberaanvallen. Door nú te investeren in een robuust cybersecurity-beleid, bouwen bedrijven aan een sterke basis voor een toekomst waarin de eisen rondom cyberweerbaarheid alleen maar strenger zullen worden. Deze proactieve aanpak is essentieel voor een veerkrachtige en toekomstbestendige organisatie.

Dit is een ingezonden bijdrage van Palo Alto Networks. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.