Door de toename van cyberdreigingen scherpen overheden hun wetgeving aan voor de bescherming van kritieke infrastructuur en gevoelige data. Een cruciale volgende stap in deze ontwikkeling is de NIS2-richtlijn (Network and Information Security Directive 2) van de Europese Unie. Dit is de opvolger van de NIS 1-richtlijn die sinds 2016 in werking is. Bob van Keulen, regional sales director Benelux & Nordics, van Genetec beschrijft in dit artikel waarom deze ontwikkeling belangrijk is voor de fysieke beveiliging.

Organisaties die aan NIS 2 moeten voldoen, zijn bezig met een race tegen de klok om klaar te zijn voor de inwerkingtreding van deze regelgeving later dit jaar. Maar op welke soorten organisaties is de nieuwe richtlijn van toepassing? Waar moeten ze aan voldoen? En waarom is het niet alleen van toepassing op cybersecurity maar ook op de fysieke beveiliging van panden, personeel, burgers, assets en meer?
Betrekking op meer organisaties en hun toeleveranciers
De NIS 1-richtlijn focuste vooral op de cybersecurity van organisaties in kritieke sectoren zoals energie, vervoer en telecommunicatie. Met andere woorden, bedrijven en organisaties waar storingen of inbreuk in de security van informatiesystemen ernstige gevolgen kunnen hebben voor de continuïteit van de bedrijfsvoering, het leven van burgers of de stabiliteit van de samenleving.
De reikwijdte van NIS2 is breder. Het is niet alleen van toepassing op essentiële organisaties maar ook op organisaties die als ‘belangrijk’ worden bestempeld door de overheid (op basis van grootte en het soort activiteiten). Verder is NIS2 niet alleen van toepassing op de organisatie zelf, maar ook op hun digitale service providers, hun kritieke supply chain en op overheidsdiensten.

Impact NIS2 voor fysieke security professionals
Bescherming tegen fysieke bedreigingen is inmiddels in veel organisaties net zo belangrijk als bescherming tegen cyberaanvallen. Cybersecurity en fysieke beveiliging zijn steeds vaker nauw met elkaar verbonden. Er is een onderlinge afhankelijkheid tussen beiden die versterkt wordt doordat fysieke beveiligingssystemen en devices steeds meer technologische componenten bevatten en integreren (denk aan slimme camera’s, elektronische sloten en diverse soorten sensoren). Hierdoor kunnen er kwetsbaarheden voor cyberaanvallen ontstaan wanneer de beveiliging van zulke systemen of devices niet up-to-date is. NIS 2 biedt organisaties de garantie dat de fysieke beveiligingsoplossingen die zij gebruiken de cyberveiligheid niet in gevaar brengen.
Concrete voorbeelden hiervan zijn bijvoorbeeld dat als elektronische sloten worden gehackt, de toegang tot een cruciale locatie in gevaar komt. De fabrikant van de sloten, die onder NIS 1 buiten beeld bleef, valt nu binnen het toepassingsgebied van NIS 2. Fabrikanten die aan essentiële organisaties leveren, zullen zich dan ook moeten aanpassen aan een hoog niveau van cyber security.

Wat betekent dit in de praktijk?
In de praktijk betekent een en ander dat de organisaties en partijen waarop NIS2 betrekking heeft, krachtige cybersecurity-maatregelen moeten nemen om hun digitale systemen en netwerken te beschermen. Hierbij zijn de volgende aandachtspunten belangrijk:

• Het in kaart brengen van kritieke digitale assets: organisaties moeten een lijst samenstellen van hun kritieke digitale assets, dat wil zeggen de digitale elementen en resources die van vitaal belang zijn voor hun business, waaronder apparatuur, software en gevoelige data.
• Cyber risico management: organisaties zijn verplicht regelmatig risico assessments uitvoeren om potentiële cyberbedreigingen en kwetsbaarheden te identificeren, en strategieën bepalen om deze risico’s te beperken.
• Implementatie van cyber security maatregelen: organisaties moeten technische beveiligingsmaatregelen inzetten (firewalls, antivirus, inbraakdetectie, enz.) en een strikt cybersecurity beleid implementeren.
• Rapporteren van incidenten. wanneer er een cybersecurity incident optreedt, zijn stakeholders verplicht deze snel te rapporteren. Die druk is nog hoger wanneer het incident impact heeft op de bedrijfsvoering of de veiligheid van data en informatie.
• Samenwerking met cyber security autoriteiten: organisaties moeten samenwerken met nationale cyber security autoriteiten en bijdragen aan het beheer van cyber crisissen.
• Training van medewerkers: ook medewerkers van organisaties moeten bewust gemaakt wordt van cybersecurity issues en getraind worden hoe ze nieuwe technologieën veilig kunnen gebruiken.
• Compliance en bewijsvoering: de activiteiten van de betrokken partijen moeten voldoen aan de NIS 2 vereisten en er moet aangetoond kunnen worden dat zij aan de eisen voldoen.

Boetes wanneer NIS 2 niet wordt nageleefd
NIS 2 is niet slechts een formaliteit. Bedrijven die zich niet aan de regels houden, riskeren zware sancties. De boetes kunnen oplopen tot 2 procent van de wereldwijde omzet. Stel je een fysiek beveiligingsbedrijf voor waar inbreuk heeft plaatsgevonden op het videomanagement of de toegangscontrolesystemen. Als dat bedrijf niet voldoet aan NIS 2, kunnen de financiële gevolgen desastreus zijn.
Gelukkig is het voor fysieke security professionals gemakkelijker zich met de juiste oplossingen voor te bereiden op NIS 2. Om risico’s te beperken, is het belangrijk dat alle security data gecentraliseerd zijn. Teams kunnen zich dan beter richten op de identificatie van risico’s en de beperking daarvan. Genetec Security Center SaaS is zo’n oplossing. Het platform brengt alle security data samen, zodat de security professionals het beveiligingsbeleid kunnen beheren, bewaken en onderzoeken in een geïntegreerd platform. Bij deze nieuwe software-as-a-service oplossing staan cybersecurity en privacy centraal.

Voor wie meer informatie wil en een stappenplan wil ontvangen om op tijd klaar te zijn: download de whitepaper ‘Fysieke beveiliging in het tijdperk van NIS2’.