Met NIS2 krijgt de bestaande Europese cybersecurityrichtlijn NIS (Network and Information Security) uit 2016 een serieuze upgrade. Bedrijven waarop de uitgebreide richtlijn van toepassing is, moeten ook een aantal maatregelen nemen om het beheer en de afhandeling van kwetsbaarheden te optimaliseren.
Een opvallende verandering in NIS2, tot dusver de meest uitgebreide EU-wetgeving op het gebied van cybersecurity, is dat alle bestuurders persoonlijk verantwoordelijk en hoofdelijk aansprakelijk zijn voor de naleving ervan. Niemand kan zich met andere woorden verschuilen achter de beslissingen of nalatigheid van anderen – van werknemers, bijvoorbeeld. Zo kan het niet naleven van de richtlijn naast administratieve geldboetes voortaan ook juridische gevolgen voor het senior management met zich meebrengen. De CEO van het bedrijf kan nu bijvoorbeeld ook tijdelijk het verbod opgelegd krijgen om een leidinggevende functie uit te oefenen.
Uitstel is uit den boze
Kortom, je kunt de NIS2-regelgeving maar beter ernstig nemen en doet er goed aan om de opgelegde maatregelen zo snel mogelijk te implementeren. In de tweede helft van dit jaar vervangt NIS2 zowel in België als in Nederland officieel de bestaande NIS-richtlijn. Daarna is er in principe nog 18 maanden de tijd, tot ergens in de eerste helft van 2026, om alle vereiste maatregelen effectief te implementeren. Maar hoe sneller je ermee klaar bent, des te beter uiteraard. Vooral omdat NIS2 deel uitmaakt van een groeiende golf van EU-eisen voor cybersecurity, van de eIDAS-verordening uit 2014 tot de GPSR-richtlijn uit 2023. Begin volgend jaar staat bovendien alweer nieuwe EU-wetgeving te wachten op implementatie.
Automatisering helpt
Een correcte naleving van de NIS2-richtlijn vereist onder meer dat je een aantal maatregelen neemt om je risico’s op het gebied van cybersecurity voldoende te beheersen. Concreet gaat het om maatregelen in tien cybersecuritydomeinen. Een van die domeinen is vulnerability management, met patch management als belangrijk onderdeel.
Als je dat patchmanagement of, erger nog, het volledige vulnerability management manueel moet afhandelen, is dat een uitermate arbeidsintensief en tijdrovend proces. Een proces dat weliswaar noodzakelijk is met het oog op een goede beveiliging, maar voor de rest weinig toegevoegde waarde biedt voor je business. Een ideaal proces om te automatiseren, met andere woorden. Hoe je die automatisering van je patching workflow het best aanpakt, kun je via BRYXX alvast aanleren in een van de gerichte workshops die wij voor onze klanten organiseren.
Tools implementeren
Daarbij hoeven wij ons niet te beperken tot de theorie alleen. Zo reiken wij ook de nodige tools aan om van die automatisering een succes te maken. En we kunnen die tools meteen ook helpen implementeren. We denken hierbij in de eerste plaats aan de tools van Puppet, een specialist in IT-automatiseringssoftware, waarmee je de verschillende fasen van de levenscyclus van je IT-infrastructuur beheert, inclusief de patching waarmee je je attack surface verkleint en je kwetsbaarheid vermindert.
Maar voor je daarop focust, valt het aan te raden om eerst nauwgezet in kaart te brengen hoe compliant je nu al bent met de komende NIS2-regelgeving. Ook daarvoor kan je een tool van diezelfde softwareleverancier inzetten: Puppet Comply. Die beoordeelt je infrastructuur aan de hand van CIS Benchmarks: de best practices van het Center for Internet Security (CIS) voor het veilig configureren van systemen. Als kers op de taart brengt Puppet alle systemen die niet of onvoldoende compliant zijn daarna automatisch in orde.