NIS 2?
Met de omzetting van de NIS 2 – richtlijn in nationaal recht in aantocht (deze blog werd geschreven in volle openbare consultatieperiode van het Belgische voorontwerp van wet), is het tijd om de puntjes op de i te zetten omtrent NIS en fysieke beveiliging.
De NIS 1 - richtlijn, een Europese wetgeving, werd eerder omgezet in Belgisch recht met de Wet van 7 april 2019 en haar uitvoeringsbesluit. Nu staat de NIS 2 - richtlijn voor de deur, die verder bouwt op de fundamenten van haar voorganger.
NIS 2 breidt de scope uit met een herdefiniëring van organisaties die onder haar toepassingsgebied vallen: de essentiële en belangrijke entiteiten. Ze voorziet in een versterkt Europees kader met verantwoordelijkheid voor de nationale autoriteiten, introduceert minimum risicobeheersingsmaatregelen, benadrukt supply chain security en voorziet in een duidelijk kader rond de aanpak van incidenten. Een ander belangrijk aspect van deze richtlijn is de verantwoordelijkheid die het legt op de schouders van managers en bestuursleden.
NIS 2: enkel cyber?
NIS staat letterlijk voor: Network and Information Systems Directive. Het draagt in de titel uitdrukkelijk de bepaling: ‘maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie’.
Het zou aldus een misvatting kunnen zijn dat de NIS 2 - richtlijn uitsluitend draait om een versterkt kader voor cybersecurity. Deze aanname kan leiden tot een gevaarlijke blindheid voor de cruciale rol van fysieke security. Rondvraag leerde me ook dat het vaak louter de IT – departementen zijn die de race voor compliance met NIS 2 aan het lopen zijn.
Met de deadline van oktober 2024 voor de omzetting van de NIS 2 - richtlijn voor ogen, is het tijd om deze misvatting te ontkrachten en de focus te leggen op de rol van fysieke beveiliging in het kader van de minimale risicobeheersingsmaatregelen.
Minimale risicobeheersingsmaatregelen onder NIS 2
Volgens NIS 2
De NIS 2 - richtlijn vereist dat organisaties niet alleen hun cyberbeveiligingsmaatregelen versterken, maar ook de fysieke omgeving van hun netwerk- en informatiesystemen adequaat beschermen. Dit betekent dat fysieke securitymanagers een actieve en cruciale rol kunnen spelen in het naleven van de richtlijn.
De maatregelen voor het beheer van risico’s moeten volgens artikel 21, 2e lid van de NIS 2 – richtlijn minstens de volgende aspecten omvatten:
a) beleid inzake risicoanalyse en beveiliging van informatiesystemen;
b) incidentenbehandeling;
c) bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer;
d) de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
e) beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
f) beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
g) basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
h) beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
i) beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
j) wanneer gepast, het gebruik van multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit
Het ziet er overigens naar uit (cf. Belgisch voorontwerp van wet in consultatiefase op datum van dit blogartikel), dat de Belgische wetgever deze lijst van minimale maatregelen een op een heeft overgenomen.
Deze maatregelen moeten 'passende en evenredige technische, operationele en organisatorische maatregelen' zijn 'om de risico’s te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken'.
'Passend en evenredig' – iets wat we ook al qua terminologie zagen voorbijkomen bij GDPR – houdt dus in: rekening houdend met de context en financiële draagkracht van de entiteit, en de maatschappelijke en economische implicaties moest zich een incident voordoen.
Hulpmiddelen
Een hulpmiddel om concreet aan de slag te gaan met het implementeren van al deze maatregelen wordt al vermeld in NIS 2, namelijk de ISO - normen betreffende de managementsystemen voor informatiebeveiliging [ISO/IEC 27001]. Het Belgische voorontwerp van wet maakt daarenboven ook al verwijzing naar het Cyberfundamentals Framework van het Centre For Cybersecurity Belgium. Zowel deze ISO – norm als het Framework van het CCB bevatten rubrieken die van toepassing zijn op …fysieke security! Bijvoorbeeld: sleutelbeheer, beheer van alarmcodes, bewakers, hekken, toegangsregisters.
Als fysieke security manager is het nu tijd om:
- Je beveiligingsstrategie te herzien: Zorg ervoor dat de fysieke beveiligingsmaatregelen in lijn zijn met de eisen van NIS 2.
- Samen te werken met IT/CISO: Werk nauw samen met uw IT-afdeling om een geïntegreerde aanpak van beveiliging te waarborgen.
- Proactief te zijn: Wacht niet tot de IT-afdeling naar u toekomt. Neem het initiatief en wees een actieve deelnemer in het beveiligingsproces.
Meer info over NIS 2?
Heb je vragen over deze wetgeving? 1 adres!
Als expert in wetgeving over beveiliging en bewaking, camerawetgeving, GDPR en biometrie, en wetgeving over beveiliging in hoogrisico-omgevingen, kan ik organisaties bijstaan in het detecteren van juridische risico's en het optimaliseren van hun compliance programma's.
Neem gerust contact op voor een gratis verkennend adviesgesprek!
Update: 09/12/2023