Navigeren door cyberdreigingen: De NIS2-richtlijn en de impact van kunstmatige intelligentie

Cyberbeveiliging is niet langer meer alleen een zorg voor grote ondernemingen. Ook kleine en middelgrote bedrijven spelen een cruciale rol in onze economie en hebben recht op gedegen bescherming tegen het groeiende risico van cyberaanvallen. In dit artikel belichten we het belang van robuuste cyberbeveiliging voor organisaties van alle groottes. We gaan in op de recente NIS 2-regelgeving van de Europese Unie en de situaties waarin deze van kracht is. Daarnaast verkennen we de rol van kunstmatige intelligentie in het cybersecurity-landschap en het belang van educatieve initiatieven om sociale manipulatie te bestrijden.

Impact van incidenten

Cyberbeveiligingsincidenten hebben een verwoestende impact op kleine en middelgrote bedrijven. Volgens het Cybersecuritybeeld Nederland 2021 rapport van het Nationaal Cyber Security Centrum (NCSC) hebben bijna 50% van de MKB-organisaties in Nederland te maken gehad met een vorm van cyberaanval [1]. Deze incidenten veroorzaken niet alleen financiële verliezen, maar ook aanzienlijke reputatieschade en verstoring van bedrijfsactiviteiten. Uit hetzelfde rapport blijkt dat de gemiddelde kosten van een ernstig cyberincident voor een MKB-bedrijf kunnen oplopen tot € 100.000,-. Deze cijfers benadrukken de urgentie voor MKB-ondernemingen om proactieve maatregelen te nemen en hun cyberbeveiliging te versterken, om zo de gevolgen van cyberaanvallen te minimaliseren.

NIS2-richtlijn

De NIS2-richtlijn van de Europese Unie [2], formeel bekend als de Verordening voor Netwerk- en Informatiebeveiliging, dient als een cruciale tool voor het verhogen van de cyberveiligheid in de EU.

Voor organisaties en toeleveranciers in de relevante sectoren is naleving van de NIS2-richtlijn heel belangrijk. Ze zijn daarmee verplicht om adequate voorzorgsmaatregelen te implementeren om cyberdreigingen te identificeren, te vermijden en erop te reageren. Dit is een vitale stap in het waarborgen van de robuustheid en veiligheid van essentiële dienstverlening.

De richtlijn is specifiek gericht op organisaties die gekwalificeerd zijn als ‘aanbieders van essentiële diensten’. Maar onder welke omstandigheden valt een organisatie onder deze regelgeving? Hieronder worden enkele situaties beschreven die bedrijven onder deze wet brengen. Het gaat om organisaties en toeleveranciers binnen de sectoren in afbeelding 1 die op basis van de genoemde criteria tot aanbieder van essentiële- of belangrijke diensten worden gerekend.

De indeling van organisaties volgens de NIS2-richtlijn is als volgt:

1. Aanbieders van essentiële diensten:
   • Grote organisaties in sectoren die vermeld zijn in Bijlage I van de NIS2-richtlijn.
   • Omvangcriteria:
     • minimaal 250 werknemers, of;
     • een jaarlijkse omzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen.
2. Aanbieders van belangrijke diensten:
   • Middelgrote ondernemingen in de sectoren van Bijlage I en zowel middelgrote als grote ondernemingen in de sectoren van Bijlage II.
   • Criteria voor middelgrote bedrijven:
     • Minimaal 50 werknemers, of;
     • een jaaromzet en balanstotaal van meer dan 10 miljoen euro.

Het is belangrijk op te merken dat de beoordeling van een organisatie onder de NIS2-richtlijn niet enkel afhangt van het personeelsbestand. Zelfs een klein bedrijf qua werknemersaantal kan onder deze regelgeving vallen als het een hoge omzet en balanstotaal heeft.

Wij, van Actice Collective, adviseren ondernemers om tijdig te (laten) toetsen of de NIS2-richtlijn op hen van toepassing is. De NIS2-richtlijn is sterk gebaseerd op de normen van ISO 27001 [3]. Waar wij al geruime tijd voor gecertificeerd zijn.

Opkomst AI

De opkomst van kunstmatige intelligentie (AI) zal u niet ontgaan zijn. Ook op cybersecurity heeft dit veel impact. AI biedt zowel kansen als uitdagingen op het gebied van beveiliging. Aan de ene kant kan AI worden gebruikt om geavanceerde cyberaanvallen te detecteren en te bestrijden door patronen en afwijkingen in grote hoeveelheden gegevens te analyseren. Aan de andere kant kunnen kwaadwillende actoren AI-technologie benutten om gerichte aanvallen uit te voeren en beveiligingssystemen te omzeilen. Het is van essentieel belang dat organisaties zich bewust zijn van deze ontwikkelingen en proactief investeren in AI-gestuurde beveiligingsoplossingen.

AI en security zijn beide speerpunten binnen onze technische ontwikkeling en vinden we zeer interessant. Deze onderwerpen kunt u vaker verwachten in artikelen. Techniek is echter niet de enige factor in informatiebeveiliging.

Human factor

Naast technologie is het ook van cruciaal belang om aandacht te besteden aan de menselijke factor in cybersecurity. Social engineering, waarbij aanvallers misleidende technieken gebruiken om gebruikers te manipuleren en gevoelige informatie te verkrijgen, blijft een grote bedreiging. Het is van vitaal belang dat werknemers op alle niveaus van een organisatie worden opgeleid en zich bewust zijn van de verschillende vormen van social engineering, zoals phishing, vishing en pretexting. Door middel van educatie en training kunnen medewerkers de vaardigheden ontwikkelen om verdachte activiteiten te herkennen, phishing-e-mails te identificeren en te rapporteren, en algemene cyberhygiënepraktijken te volgen.

Moving forward

Een holistische aanpak van cybersecurity, waarin zowel technologie als menselijke elementen worden aangepakt, is cruciaal om effectief te kunnen inspelen op de voortdurend  veranderende cyberdreigingen. Door te investeren in door AI-gestuurde beveiligingsoplossingen en het stimuleren van bewustzijn en opleiding op het gebied van cybersecurity, kunnen kleine en middelgrote bedrijven zich beter beschermen tegen cyberaanvallen en een veerkrachtige en solide digitale toekomst waarborgen.

Wilt u weten hoe goed de cyberbeveiliging van uw organisatie is? Vraag een kosteloze security audit aan voor een grondige evaluatie van de veiligheid van uw online infrastructuur tegen cyberdreigingen. Bovendien ontvangt u gratis aanbevelingen om eventuele beveiligingsproblemen aan te pakken. Vul het onderstaande formulier in, en u ontvangt het rapport binnen drie werkdagen.

Bronnen:

[1] “Cybersecuritybeeld Nederland 2021” – Nationaal Cyber Security Centrum (NCSC). https://www.ncsc.nl/documenten/publicaties/2021/mei/27/cybersecuritybeeld-nederland-2021

[2] “Wat gaat de NIS2 richtlijn betekenen voor uw organisatie?” – Nationaal Cyber Security Centrum. https://www.ncsc.nl/over-ncsc/wettelijke-taak/wat-gaat-de-nis2-richtlijn-betekenen-voor-uw-organisatie

[3] “ISO/IEC 27001:2022 – Information technology — Security techniques — Information security management systems — Requirements” – International Organization for Standardization. https://www.iso.org/standard/54534.html