België en Kroatië halen als enige de NIS2-deadline, Nederland loopt achter

België is het enige land dat voor de deadline de Europese NIS2-richtlijn volledig heeft omgezet in lokale wetgeving. Kroatië deed dit deels. EU-lidstaten hadden tot 17 oktober om de Europese richtlijn voor cybersecurity om te zetten in nationale wetgeving. Nederland haalt die deadline niet.

Een overzicht van de Europese Unie laat zien dat alleen België en Kroatië bij de Europese Commissie hebben gemeld dat de richtlijn wordt omgezet in wetgeving. De Belgische wet wordt op 18 oktober officieel van kracht, zo werd in april al aangekondigd. Kroatië heeft de NIS2 alleen deels omgezet in lokale wetgeving. De NIS2 is een richtlijn die is opgelegd door de Europese Commissie, die gaat over de beveiliging van netwerk- en informatiesystemen. De NIS2 is de opvolger van de NIS uit 2016 en brengt nieuwe regels met zich mee. Ook moeten meer sectoren aan de richtlijn voldoen.

De 25 andere Europese lidstaten halen de deadline dus niet. Daaronder valt ook Nederland, dat al in januari aankondigde de deadline niet te halen. De vertraging komt doordat 'de omzetting naar nationale wetgeving een omvangrijk en complex traject is', schrijft minister David van Weel van Justitie en Veiligheid in een brief aan de Tweede Kamer. "De impact voor Nederlandse organisaties is aanzienlijk en er zijn ten opzichte van bestaande wetgeving meer sectoren en meer organisaties die moeten voldoen aan de nieuwe wetgeving. Daarnaast hecht ik grote waarde aan het zorgvuldig verwerken van de circa 150 reacties die zijn binnengekomen tijdens de internetconsultatie en de interdepartementale afstemming hierover."

Naar verwachting treedt de Nederlandse wetgeving, de Cyberbeveiligingswet genoemd, pas in het derde kwartaal van 2025 in werking. Tot die tijd gelden de verplichtingen die uit de NIS2 voortvloeien nog niet voor organisaties die onder de richtlijn vallen. Wel kunnen deze organisaties al door betrokken ministeries benaderd worden en gewezen worden op de maatregelen die ze nu al kunnen treffen, aldus Van Weel. Ook krijgen verschillende organisaties per 17 oktober al bepaalde rechten als gevolg van de NIS2, zoals het recht op bijstand van een Computer Incident Response Team bij cyberincidenten. Ook kunnen organisaties die onder de NIS2 vallen zich vanaf 17 oktober op vrijwillige basis registreren bij het NCSC. Na de inwerkingtreding van de Nederlandse wetgeving is deze registratie verplicht.

Veel van de andere lidstaten zijn net als Nederland nog bezig met het omzetten van de NIS2 in lokale wetgeving. Een tool van onderzoeksorganisatie DNS Research Federation laat zien dat twee landen nog verder achterlopen. Portugal en Bulgarije zijn volgens deze tool nog niet begonnen met het omzetten van de NIS2 naar lokale wetgeving.

Update 10:36: uitleg over de NIS2 toegevoegd.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 17-10-2024 10:04 62

17-10-2024 • 10:04

62

Lees meer

Digitalisering in het regeerprogramma

13 sep 2024

Digitalisering in het regeerprogramma

Wat wordt er wel, maar vooral ook niet genoemd?

73
DuckDNS werkt niet goed vanwege storing
DuckDNS werkt niet goed vanwege storing Nieuws van 5 december 2024
Nederlandse NIS2-wet treedt pas in tweede of derde kwartaal 2025 in werking
Nederlandse NIS2-wet treedt pas in tweede of derde kwartaal 2025 in werking Nieuws van 30 mei 2024
Rijksoverheid brengt NIS2-Quickscan uit ter voorbereiding op NIS2-richtlijn
Rijksoverheid brengt NIS2-Quickscan uit ter voorbereiding op NIS2-richtlijn Nieuws van 29 februari 2024
Nederlandse overheid haalt deadline voor NIS2-securityrichtlijn in oktober niet
Nederlandse overheid haalt deadline voor NIS2-securityrichtlijn in oktober niet Nieuws van 31 januari 2024
Nederlandse overheid brengt tool uit om NIS2-verplichting te bekijken
Nederlandse overheid brengt tool uit om NIS2-verplichting te bekijken Nieuws van 18 oktober 2023
Europees Parlement publiceert wet die bedrijfsleven strenge securityeisen oplegt
Europees Parlement publiceert wet die bedrijfsleven strenge securityeisen oplegt Nieuws van 27 december 2022
Meer producten en artikelen
Politiek en recht België Cybersecurity Nederland NIS2

Reacties (62)

-Moderatie-faq
62
60
30
3
0
18
Wijzig sortering
Devian 17 oktober 2024 10:08
Wat is de NIS2-richtlijn?

De Network and Information Security directive, of NIS2-richtlijn, is de opvolger van de NIS-richtlijn. Deze richtlijn is vastgesteld door de Europese Unie (EU) en bedoeld om de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. De NIS2-richtlijn vergroot de reikwijdte van de NIS-richtlijn door meer sectoren te omvatten. Ook stelt de richtlijn strengere beveiligingsnormen en meldingsvereisten voor incidenten. De NIS2-richtlijn wordt momenteel vertaald naar Nederlandse wetgeving.
djexplo @Devian17 oktober 2024 10:34
Concreet:

Aan NIS2 moet nu ook nu voedselproducenten voldoen, bijvoorbeeld Unilever. Ze zijn verplicht om een risicobeheersysteem te hebben, die regelmatig word ge-audit door een extern bedrijf op hun cijberbeveilingsmaatregelen. Binnen het bedrijf moet er ook een gestandaardiseerde meldingsprocedure zijn voor cyberincidenten.
Nieuw is dat je tot 10miljoen euro boete (of tot 2% jaaromzet) kan krijgen als je nalatig bent geweest, en nog belangrijker dat bedrijfsleiders hier persoonlijk verantwoordelijk gehouden kunnen worden.
Horla @djexplo17 oktober 2024 11:16
Belangrijk voor lokale besturen is dat ze deze keer niet de dans ontspringen. In België kan een lokale overheid wel een GDPR overtreding begaan maar niet gestraft worden (bron: ervaring ;) ). Bij NIS2 is het inderdaad zo dat ook bij lokale overheden het management persoonlijk verantwoordelijk is en bv geschorst kan worden en dat bij boetes het percentage de volledige inkomsten bevatten dus inclusief belastinginkomsten. Dat kan serieus pijn doen :) .

Standaard valt in België trouwens een lokale overheid niet onder NIS2 tenzij er een seniorencentrum aan het OCMW verbonden is met meer dan 50 (voltijdse) medewerkers. En als gemeente en ocmw één netwerk zijn (wat doorgaans het geval is want ocmw is al een aantal jaren geïntegreerd in de gemeente), dan moet de gemeente er ook aan voldoen. Nu zou je kunnen vinden dat een gemeente er altijd aan zou moeten voldoen maar dat is een andere discussie O-)
GreatDictator @Horla17 oktober 2024 11:45
Belangrijk voor lokale besturen is dat ze deze keer niet de dans ontspringen. In België kan een lokale overheid wel een GDPR overtreding begaan maar niet gestraft worden (bron: ervaring ;) ). Bij NIS2 is het inderdaad zo dat ook bij lokale overheden het management persoonlijk verantwoordelijk is en bv geschorst kan worden
Kun je dit onderbouwen? Als ik eens de FAQ bekijk op digitaleoverheid.nl dan staat daar:

10. Hoe zit het met de aansprakelijkheid voor bestuur of directie bij niet-naleving van verplichtingen vanuit de richtlijn bij overheidsinstanties?

NIS2 brengt voor overheidsbestuurders geen nieuwe aansprakelijkheden met zich mee, buiten dat wat al bestond. Dat betekent dus niet dat er helemaal geen aansprakelijkheid binnen overheidsinstanties is. Momenteel kunnen bestuurders bijvoorbeeld al bij grove nalatigheid aansprakelijk worden gesteld. Bovendien staat de aansprakelijkheid van bestuurders los van de politieke verantwoordelijkheden die bestaan bij overheidsinstanties.

De NIS2-richtlijn bevat een bepaling over de aansprakelijkheid voor bestuurders in het geval van niet-nakomen van verplichtingen van de richtlijn. Deze bepaling is niet direct van toepassing op overheidsinstanties. De NIS2-richtlijn geeft namelijk aan dat geen afbreuk kan worden gedaan aan nationaal recht inzake aansprakelijkheid van ambtenaren en gekozen of benoemde overheidsfunctionarissen.

Klinkt dus niet alsof bestuurders nu ineens hoofdelijk aansprakelijk worden door NIS2.

https://www.digitaleoverh...n-over-de-nis2-richtlijn/

[Reactie gewijzigd door GreatDictator op 17 oktober 2024 11:45]

Horla @GreatDictator17 oktober 2024 11:57
De Belgische en Nederlandse implementatie zal verschillen? Op de CCB site kan je het volgende lezen:
4. Verplichtingen en aansprakelijkheid van management
De bestuursorganen van NIS2-entiteiten moeten maatregelen voor risicobeheer op het gebied van cyberbeveiliging goedkeuren en toezien op de uitvoering ervan. Als de entiteit haar verplichtingen met betrekking tot risicobeheersmaatregelen niet nakomt, is het beheersorgaan aansprakelijk.

De leden van de bestuursorganen zijn verplicht een opleiding te volgen om ervoor te zorgen dat hun kennis en vaardigheden voldoende zijn om risico's te identificeren en praktijken voor risicobeheer op het gebied van cyberbeveiliging en de impact daarvan op de diensten die door de betreffende entiteit worden verleend, te beoordelen.

De verantwoordelijke personen en/of wettelijke vertegenwoordigers van een entiteit moeten de bevoegdheid hebben om ervoor te zorgen dat de entiteit de wet naleeft. Zij zijn aansprakelijk als zij dit nalaten.
Bron is ook een algemeen infomoment dat Vlaanderen heeft gegeven voor IT'ers bij lokale overheden. Ik heb het even voor je opgezocht, die kan je hier bekijken als je interesse hebt ;)
4Lph4Num3r1c @GreatDictator17 oktober 2024 12:56
[...]
Klinkt dus niet alsof bestuurders nu ineens hoofdelijk aansprakelijk worden door NIS2.
Zoals ik het lees, staat er dat het niet van toepassing is op bestuurders in de overheid (dus wel in het bedrijfsleven) daar ze bij de overheid werken met gekozen of benoemde overheidsfunctionarissen.
sleeperzzz @4Lph4Num3r1c17 oktober 2024 20:07
Sommige besturen moet wel deels voldoen aan de nieuwe regels.

Wij hebben (BE) de melding gekregen dat we wel de nodige zaken in orde moeten zetten omdat ons woonzorgcentrum gekoppeld is aan het bestuur en we dus voor het WZC de nodige regels moeten toepassen. Omdat dit wordt gezien bij ons als 1 entiteit zal deels van de invoering ook doorvloeien naar algemeen bestuur
SunnieNL @Horla17 oktober 2024 21:36
Dat is dus niet het geval in Nederland. In Nederland gaat gelden dat overheid wel moet voldoen aan nis2 maar management niet aansprakelijk gesteld kan worden. Overheid wordt bij wet uitgesloten van dat punt.
Gemeenten vallen in Nederland volgens mij wel onder nis2 en krijgen er mee te maken via de BIO 2.0

Doordat landen zelf de nis2 moeten omzetten naar wetgeving krijg je dit soort kleine verschillen. Rampzalig voor bedrijven die over de grens ook actief zijn en in die landen als belangrijk of essentieel worden bestempeld.

Het artikel (en de brief naar de kamer) mist die nuance. Als een Nederlands bedrijf zaken doet in België krijgen ze er mee te maken als supply chain tier 1 leverancier of doordat ze in België onder belangrijk of essentieel vallen. Het Nederlands bedrijf zal dan toch echt aan de Belgische wet moeten voldoen (die overigens tot oktober 2026 geen boetes oplegt)
cracking cloud @djexplo17 oktober 2024 11:11
Is dat dan weer een papieren tijger?
sebastienbo @cracking cloud17 oktober 2024 15:13
Nee, het is eerder verplichten om gezond verstand te gebruiken als je een kritische rol speelt in de basisbehoeften van de bevolking (voedsel, energie, telecom,..)
Je wil niet dat Russen of chinezen gewoon via internet die basisbehoeften kunnen platleggen vanop afstand...

Alles wat daar in staat had eigenlijk al moeten bestaan in een gezonde ICT omgeving, anders ben je nalatig

[Reactie gewijzigd door sebastienbo op 17 oktober 2024 15:14]

Frame164 @djexplo17 oktober 2024 12:46
Ik ben wel benieuwd wat dat laatste in de praktijk gaat betekenen. Voor je het weet verzanden veel organisaties in bureaucratische monsters waar niets meer gedaan kan worden zonder goedkeuring van de CEO. Die zal immers niets toelaten waar hij mogelijk voor vervolgd kan worden.
OruBLMsFrl @Frame16417 oktober 2024 14:44
Nalatigheid dat gaat wel eerder de andere kant op. Dan moet je serieus wat kunnen bewijzen. Een scenario kan zijn dat de CEO zelf helemaal geen MFA wil, en IT opdracht geeft dat bij zichzelf uit te schakelen. Stel de CEO wordt vervolgens gehacked en via het CEO account wordt daarna het hele bedrijf gehacked en als gevolg daarvan NIS2 scoped processen platgelegd wekenlang, dan kan die CEO omdat die de beveiliging gesaboteerd heeft straks wel aansprakelijk gehouden worden.

Na die verplichte training uiteraard, want daarvoor kan die nog eens bij de rechter zeggen dat het toch vreselijk ingewikkeld was en die de risico's daarvan niet had kunnen overzien. Vandaar die clausule rond cybersecurity risico training/opleiding van bestuurders in NIS2.

[Reactie gewijzigd door OruBLMsFrl op 17 oktober 2024 14:45]

sebastienbo @OruBLMsFrl17 oktober 2024 15:18
Drama queen: nis2 is echt niet zo complex, het verplicht basis higeene in je ICT als je een belangrijke rol speelt in de basisbehoeften van je bevolking.
Je wil niet dat chinezen of Russen die vanop afstand kunnen platleggen gewoon omdat je geen controle hebt over je ICT?
Het meeste is gewoon ITIL processen
emeralda @sebastienbo17 oktober 2024 19:26
Nou zo makkelijk is het allemaal niet dat heeft de Mossad onlangs nog bewezen.

Controle hebben over alle software en hardware- dat zie ik de Nederlandse overheid nog niet zo gauw doen.
OruBLMsFrl @sebastienbo17 oktober 2024 22:11
Het is ronduit komisch dat jij zegt NIS2 is niet zo complex, en slechts 1 lidstaat van de 27 van de EU is er met een legertje ambtenaren en juristen in geslaagd om NIS2 naar nationale wetgeving om te zetten. Een tweede is dichtbij, en 23 anderen zijn nog volop bezig. Die laatste 2 overheden hebben ernaar gekeken en besloten dit avontuur van wetgevende implementatie nog maar even helemaal niet aan te gaan.
Voor een kleine omgeving, of een 100% kantooromgeving zoals een bank, daar kom je prima een heel eind.

Echter juist veel productiebedrijven, met veel uitzendkrachten, waar veel verloop is, omdat veel Nederlanders hun neus ophalen voor dat werk, daar kun je je lol op om 'gewoon ITIL processen' 100% na te leven en tegelijkertijd iedereen op tijd aan het werk te hebben om te voorzien in de basisbehoeften van de bevolking. En daar komt dan nog je third party risk management bij in sectoren die regelmatig bij de toeleverende bedrijven elk dubbeltje moeten omdraaien zodat jij en ik makkelijk en betaalbaar bij een webshop of supermarkt kunnen winkelen.

Ga anders eens 'gewoon ITIL' strikt handhaven bij een groot slachthuis en daar op de werkvloer de basis hygiëne ICT uitleggen en 100% handhaven bij de minder geduldige en niet zo vol van ICT begrip zijnde collega's. Dat ze natuurlijk wel dieren dood mogen maken en in stukken mogen zagen, maar geen account mogen delen, niet op een computer die een collega open heeft staan ook hun order mogen intypen maar eerst afmelden en dan weer aanmelden, hun telefoon niet mee mogen nemen de werkvloer op en bij een verlopen wachtwoord dan maar eerst weer de operatie uit moeten, zich natuurlijk even netjes wassen tussendoor tweemaal, om zich eerst even bij ICT te melden op kantoor en dan pas weer aan het werk te gaan.
En oh ja, als die uitzendkrachten boos worden door dat soort zaken en een paar weken massaal niet meer naar jou bedrijf willen komen werken, of die third parties zijnde varkensboeren tijdens een systeemupdate hun dieren niet meer snel genoeg kunnen brengen, dan valt je bedrijf daardoor waarschijnlijk al om vanwege boeteclausules in je levercontracten met je klanten. Neem dat even in je op en dan krijg je een gevoel voor wat een gigantisch bruggen bouwen werk dit soort ICT rond NIS2 in de praktijk met zich meebrengt buiten kantoorbedrijven.

[Reactie gewijzigd door OruBLMsFrl op 17 oktober 2024 22:16]

cadsite @Devian17 oktober 2024 10:13
Bedankt.
Ik dacht dat ik de simpele ziel was die dit niet kende en al de rest wel.
Blijkbaar niet.
nzall @Devian17 oktober 2024 10:11
Ja, dit mis ik inderdaad in het artikel. Er staat veel in het artikel over wie het haalt en niet haalt en waarom, maar niet was die NIS2 richtlijn juist is. Er wordt gevoon van de lezer aangenomen dat deze die richtlijn kent...
Caelorum @nzall17 oktober 2024 10:16
Wij worden op het werk ondertussen ook wel doodgegooid met die term. Het einde van dit jaar hadden we ook niet gehaald. Met de huidige progressie betwijfel ik zelfs of we het voor de zomer van 2025 allemaal zodanig gereed hebben dat we met gerust hart kunnen verkondigen dat we eraan voldoen.
SunnieNL @Caelorum17 oktober 2024 21:38
Dat is ook al gemeld. De deadline is al een paar keer opgeschoven. Staat nu voor q3 2025 (staat ook in het artikel)
AuteurEvelineM @nzall17 oktober 2024 10:56
Bedankt nog voor deze feedback. Ik heb een stukje uitleg in het artikel toegevoegd.
Frame164 @nzall17 oktober 2024 12:48
Er is in het verleden al best wel veel geschreven over NIS2 op deze site. En van ICT-ers mag je ook wel enige basiskennis van hun vakgebied verwachten.
dutchruler @Lothlórien17 oktober 2024 10:59
Tip. Gebruik perplexity om het meer relevanter te maken. De tekst is nog steeds niet perfect, maar wel een stuk interessanter (althans vind ik) dan het oorspronkelijke tweakers artikel (no offense)

België en Kroatië Voldoen aan NIS2-deadline: Nederland Blijft Achter
In de wereld van cybersecurity is de Network and Information Security Directive 2 (NIS2) een cruciale stap vooruit in het versterken van de digitale weerbaarheid van EU-lidstaten. Terwijl België en Kroatië als enige landen de implementatiedeadline hebben gehaald, blijft Nederland achter. Dit artikel duikt dieper in de technische implicaties en uitdagingen rondom NIS2.

Waarom is NIS2 Belangrijk?
NIS2 is ontworpen om de beveiliging van netwerk- en informatiesystemen te verbeteren binnen de Europese Unie. Het richt zich op kritieke sectoren zoals energie, transport, banken, gezondheidszorg en digitale infrastructuur. De richtlijn legt strengere eisen op voor risicobeheer en rapportage van cyberincidenten, wat betekent dat organisaties hun IT-beveiligingsstrategieën moeten herzien en versterken.

Technische Uitdagingen bij Implementatie
De implementatie van NIS2 vereist aanzienlijke technische aanpassingen binnen organisaties:
  • Geavanceerde Beveiligingsmaatregelen: Organisaties moeten investeren in geavanceerde beveiligingstechnologieën zoals intrusion detection systems (IDS), endpoint detection and response (EDR), en security information and event management (SIEM) systemen.
  • Data Encryptie en Bescherming: Er is een grotere nadruk op het versleutelen van gevoelige data zowel in rust als tijdens transmissie. Dit vereist robuuste cryptografische protocollen en sleutelbeheer.
  • Incident Response Teams: Het opzetten van gespecialiseerde incident response teams die snel kunnen reageren op cyberdreigingen is essentieel. Dit omvat het gebruik van automatiseringstools voor snelle detectie en respons.
Nederlandse Achterstand
Nederland heeft vertraging opgelopen bij de implementatie van NIS2, deels door complexe regelgeving en de noodzaak om bestaande IT-infrastructuren te upgraden. Dit kan leiden tot verhoogde kwetsbaarheid voor cyberaanvallen in kritieke sectoren.

Technologische Innovaties voor Naleving

Voor tech-savvy organisaties zijn er verschillende innovatieve oplossingen om te voldoen aan NIS2:
  • Artificial Intelligence (AI): AI kan worden ingezet voor voorspellende analyses om potentiële bedreigingen te identificeren voordat ze zich voordoen.
  • Blockchain Technologie: Voor het waarborgen van gegevensintegriteit kan blockchain worden gebruikt, vooral in sectoren waar transparantie en traceerbaarheid cruciaal zijn.
  • Internet of Things (IoT) Beveiliging: Met de groei van IoT-apparaten is het beveiligen van deze endpoints essentieel. Dit omvat het implementeren van sterke authenticatieprotocollen en netwerksegmentatie.
Conclusie
De naleving van NIS2 biedt niet alleen uitdagingen maar ook kansen voor technologische vooruitgang binnen organisaties. Terwijl België en Kroatië hun cybersecurity-infrastructuur hebben versterkt door tijdige implementatie, biedt de vertraging in Nederland een kans om innovatieve technologieën te integreren die verder gaan dan de basisvereisten van NIS2. Voor liefhebbers van techniek, IT en gadgets biedt deze ontwikkeling een fascinerend blikveld op hoe technologie kan worden ingezet om nationale veiligheid te verbeteren.

[Reactie gewijzigd door dutchruler op 17 oktober 2024 11:07]

sebastienbo @dutchruler17 oktober 2024 15:37
De implementatie van NIS2 vereist aanzienlijke technische aanpassingen binnen organisaties
Sorry maar NIS2 is enkel voor kritische en grote bedrijven die een belangrijke rol spelen in de basisbehoeften van de samenleving. Je wil niet dat chinezen of russen dat vanop afstand kunnen platleggen.

AL de technische aanpassingen dat je oplijst horen ze eigenlijk al lang te hebben als grote en belangrijke bedrijven. Er is dus niets aanzienlijk aan. Het meeste gaat over ITIL processen en Cybersecurity basisbehoeften.
SunnieNL @sebastienbo17 oktober 2024 21:51
Het bevat wel iets meer dan dat. Je moet bewijzen dat de technische maatregelen die je neemt ook daadwerkelijk effect hebben (je moet dus een pentests kunnen overleggen en laten zien dat je er op hebt gereageerd).
Een volledige Zero Trust architectuur hebben velen ook niet. MFA loopt bij veel bedrijven achter, net als accounts die niet altijd admin rechten hebben. Het patch beleid is bij velen niet in orde (welk bedrijf implementeert Cisa KEV patches en maatregelen binnen 2 weken, laat staan binnen enkele dagen?), laat staan dat ze een goede risico analyse hebben gedaan van digitale en fysieke risico’s. Velen kijken niet naar hun supply chain. Hoeveel bedrijven testen hun backups en doen eens in de X jaar een volledige failover test of testen of hun crisisplan volledig werkt?

Ook regelmatig kom ik tegen dat ze gewoon niet weten waar ze het over hebben. Hoe vaak ik wel niet de vraag krijg of onze software oplossingen iso27001 compliant zijn… dat kan niet eens. Software kan hooguit helpen jouw bedrijf richting iso27001 compliance te krijgen, maar kan dat zelf niet zijn. En nu zijn de vragen of wij als leverancier voldoen aan nis2. Dat hoort niet de vraag te zijn. Jij hoort als bedrijf onder de nis2 te beoordelen onder welke risico klasse wij in je supply chain vallen en hoort daar een minimale beveiliging voor vast te stellen waar wij dan aan moeten voldoen voor je.

En denk je dat veel management bij bedrijven überhaupt wat weten van cybersecurity om de juiste beslissingen mbt risico’s te gaan nemen? De meeste Ciso’s in Nederland hangen ook op de verkeerde plek op de verkeerde plek in de organisatie.
Ventieldopje @dutchruler17 oktober 2024 11:14
Op het moment dat ik merk dat Tweakers zich gaat verlagen naar het niveau waar bijna volledig AI geschreven artikelen worden gepubliceerd, dan zeg ik vaarwel :X
dutchruler @Ventieldopje17 oktober 2024 11:25
Het gaat er niet om wat tweakers schrijft. Het enige wat ik aan geef is dat je perplexity kan gebruiken om de tekst aan te passen naar jouw stijl.

Uiteindelijk gaan sites als tweakers toch op de schop door AI. Je hebt kennis en nieuws bronnen en de meerwaarde van vertalen, herschrijven van bestaand nieuws zal grotendeels verdwijnen.

Voor DPG Media zal dat betekenen dat ze contracten moeten gaan sluiten met AI providers en zo hun geld verdienen. Of ze gooien de handdoek in de ring.

Voor ons als consument betekend het dat commerciële nieuws sites gaan verdwijnen. Voor hobby zal het wel blijven, maar daar wordt geen geld mee verdient.
soncholo @Devian17 oktober 2024 10:10
Bedankt, dit miste ik nog in het artikel!
BramVroy @Devian17 oktober 2024 13:28
Bedankt, deze informatie miste ik in het artikel.
Frame164 17 oktober 2024 12:51
Eigenlijk jammer dat hier een wet voor nodig is. Ieder weldenkend mens beseft dat het niet nemen van maatregelen uiteindelijk altijd duurder is. Maar goed mensen doen van nature veel onlogische dingen. Mensen zijn ook alleen maar veiligheidsgordels gaan dragen omdat het verplicht werd. Niet omdat het veiliger is, ""want mij overkomt niets" wordt te vaak gedacht.
CAPSLOCK2000
@Frame16417 oktober 2024 15:32
Eigenlijk jammer dat hier een wet voor nodig is. Ieder weldenkend mens beseft dat het niet nemen van maatregelen uiteindelijk altijd duurder is. Maar goed mensen doen van nature veel onlogische dingen.
Het is misschien logischer dan je denkt. Als je bedrijf failliet gaat omdat je veel geld aan security hebt uitgegeven dan heb je niks bereikt, dat is ook duur. Als je ziet aankomen dat security te duur is, dan kan je er ook voor kiezen om niks te doen en de gok te nemen. Als je wordt gehacked en je gaat failliet dan ben je net zo goed/slecht af als wanneer je failliet gaat door te hoge kosten. Wel sleep je dan mogelijk je klanten mee de ellende in maar voor de echte geldwolf is dat geen probleem.
Dat soort bedrijven nemen de gok en hopen dat ze later genoeg geld hebben om hun problemen op te lossen.

Dat werkt ook op kleiner niveau. Als twee bedrijven hetzelfde product aanbieden dan zal het goedkoopste meer verkopen. Bedrijven sparen geld door op security te bezuinigen, de klant ziet dat immers toch niet. De klant komt er waarschijnlijk pas achter als er iets fors mis gaat en dan zijn de centen al uitgegeven.

Daarom is het nodig dat de overheid een ondergrens stelt zodat klanten er op kunnen rekenen dat ook goedkope producten (relatief) veilig zijn. Zonder ondergrens moet iedereen meedoen aan de race naar de bodem en wint het bedrijf dat de grooste risico's durft te nemen met de veiligheid van hun klanten.
sebastienbo @CAPSLOCK200017 oktober 2024 15:45
Zo drastisch zijn die maatregelen niet hoor voor grote bedrijven (en we spreken enkel over grote bedrijven die een kritische functie uitvoeren in de gemeenschap), ik heb ook nog nooit gehoord over failiet gaan vanwege security eisen... Als je wil kan je alles opensource implementeren, maar alles wat opgelijst is in NIS2 zijn basisbehoeften waar een groot kritisch bedrijf aan moet voldoen zodanig dat russen en chinezen niet alles vanop afstand kapot kunnen maken.
Het argument over concurrentie geld hier ook niet want het is geldig in heel de EU en gaat enkel over specifieke sectoren.

Je voorbeeld over besparen op security is wel heel terecht, en dat is nu net wat ze willen voorkomen met NIS2. Jij als burger hebt er alle belang bij dat die kritische bedrijven deftig omgaan met die kritische onderdelen van onze samenleving (energie,communicatie,voedsel,etc..) dat op het internet blootgesteld worden.

[Reactie gewijzigd door sebastienbo op 17 oktober 2024 15:48]

CAPSLOCK2000
@sebastienbo17 oktober 2024 16:32
(en we spreken enkel over grote bedrijven die een kritische functie uitvoeren in de gemeenschap)
Ik spreek in het algemeen, voor zowel als kleine bedrijven. NIS2 is niet voor iedereen, maar het principe verandert niet. Iedere organisatie moet een afweging maken tussen hoeveel ze investeren in security en hoeveel in andere zaken. Een verplichting als NIS2 maakt die beslissing iets makkelijker maar er blijft een hoop ruimte voor eigen invulling. Security is een echt "the sky is the limit" onderwerp waar je eindeloos veel geld in kan steken.
Zo drastisch zijn die maatregelen niet hoor voor grote bedrijven , ik heb ook nog nooit gehoord over failiet gaan vanwege security eisen...
Niet aan die eisen, de eisen zijn namelijk de absolute minimum die iedereen moet doen en dus ook aan de klanten kan door berekeken. Het is juist een illustratie van mijn punt: doordat iedereen het doet hoeft niemand failliet te gaan doordat het product duurder wordt dan de concurrentie.

De andere kant is dat ik dan weer nooit heb gehoord van een bedrijf dat z'n security echt op orde had.
Sterker nog, ik durf te beweren dat het onmogelijk is. Al is het maar omdat er altijd een afweging gemaakt moet worden tussen veiligheid en werkbaarheid en kosten.


Als je wil kan je alles opensource implementeren, maar alles wat opgelijst is in NIS2 zijn basisbehoeften waar een groot kritisch bedrijf aan moet voldoen zodanig dat russen en chinezen niet alles vanop afstand kapot kunnen maken.
Het argument over concurrentie geld hier ook niet want het is geldig in heel de EU en gaat enkel over specifieke sectoren.
Je voorbeeld over besparen op security is wel heel terecht, en dat is nu net wat ze willen voorkomen met NIS2.
Voor mij is dit één argument. Alles wat je aan security doet kost geld. Alles dat je meer doet dan je concurrent maakt je duurder en het is lastig om te klant te overtuigen om daar voor te betalen. Zelfs zonder concurrentie werkt het zo want iedereen heeft een betere bestemming voor het geld dan security. Commerciele bedrijven maken meer winst, de publieke sector helpt meer burgers, etc.
Batiatus 17 oktober 2024 10:38
Ook krijgen verschillende organisaties per 17 oktober al bepaalde rechten als gevolg van de NIS2, zoals het recht op bijstand van een Computer Incident Response Team bij cyberincidenten.
Je kan dat recht als organisatie wel hebben, maar is er ook al bekend waar je moet zijn voor deze CIRT?
Zover ik weet hebben we momenteel nog geen (zijnde niet private) instantie in Nederland die kan helpen bij cybersecurity incidenten. Er zijn voldoende organisaties die je -tegen betaling- kunnen bijstaan o.a. door middel van retainer maar zover ik weet hoef je niet bij het NCSC aan te kloppen voor incident response ondersteuning.
krissiekris @Batiatus17 oktober 2024 11:17
Je kan registreren via https://mijn.ncsc.nl/ Je hebt eHerkenning2+ nodig daarvoor. Er lijkt nog een en ander aan tekst/faq geactualiseerd te moeten worden.

Melden kan via:
https://www.ncsc.nl/contact/incident-melding

Er staat ook vermeld dat er bijstand verleend kan worden aan belangrijke en essentiële organisaties:
https://www.ncsc.nl/contact/24-uurs-hulp

Je kan deze checklist gebruiken onder andere om te bepalen of je een belangrijke of essentiële organisatie bent.
NobodyCares4U @krissiekris17 oktober 2024 15:44
Ha ja die eHerkinning, laatst een aanvraag getest en maar 2 vd 5 ondersteunen bijv. DKIM/DMARC.
Ook lekker veel trackers bij sommige.

Geloof na contact met de helpdesk van deze bedrijven niet echt in de veiligheid van de eHerkenning aanbieders. Het blijkt dat het ze allemaal geen reet intresseert.

Bovendien hebben 2 aanbieders dezelfde postbus en website layout. Maar wel met verschillende prijzen.
Batiatus @krissiekris17 oktober 2024 11:38
Ah van de 24-uurs hulp was ik niet op de hoogte, thanks!
AnD 17 oktober 2024 11:02
Ik kan toch niet direct vinden welke richtlijnen dat zijn.
Heeft er iemand een link waar deze staan?
Frostikkel @AnD17 oktober 2024 13:04
Artikel 21

Maatregelen voor het beheer van cyberbeveiligingsrisico’s

1. De lidstaten zorgen ervoor dat essentiële en belangrijke entiteiten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen die deze entiteiten voor hun werkzaamheden of voor het verlenen van hun diensten gebruiken, te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken.

Rekening houdend met de stand van de techniek en, indien van toepassing, de desbetreffende Europese en internationale normen, alsook met de uitvoeringskosten, zorgen de in de eerste alinea bedoelde maatregelen voor een beveiligingsniveau van de netwerk- en informatiesystemen dat is afgestemd op de risico’s die zich voordoen. Bij de beoordeling van de evenredigheid van die maatregelen wordt naar behoren rekening gehouden met de mate waarin de entiteit aan risico’s is blootgesteld, de omvang van de entiteit en de kans dat zich incidenten voordoen en de ernst ervan, met inbegrip van de maatschappelijke en economische gevolgen.

2. De in lid 1 bedoelde maatregelen zijn gebaseerd op een benadering die alle gevaren omvat en tot doel heeft netwerk- en informatiesystemen en de fysieke omgeving van die systemen tegen incidenten te beschermen, en omvatten ten minste het volgende:

a)

beleid inzake risicoanalyse en beveiliging van informatiesystemen;

b)

incidentenbehandeling;

c)

bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer;

d)

de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;

e)

beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;

f)

beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;

g)

basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;

h)

beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;

i)

beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;

j)

wanneer gepast, het gebruik van multifactor-authenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
Meer info hier terug te vinden : https://eur-lex.europa.eu...LEX:32022L2555#d1e40-80-1
IStealYourGun
17 oktober 2024 10:45
En hoeveel bedrijven passen het ook toe? Net eens die wetgeving high level bekeken en Mijn werkgever valt denk ik zelfs onder nis1, en alles staat mooi op papier en in policies, maar niemand die hier op de hoogte is van die regels.
Tortelli @IStealYourGun17 oktober 2024 10:59
Heel goed punt. Bedrijven worden bedolven onder allerlei zinnige (en onzinnige) wetgeving. Het is best een uitdaging om overal aan te voldoen, of het soms überhaupt al te weten dat je moet voldoen.

Voor ons zelf vind ik het vrij vaag of we wel of niet moeten voldoen, maar de keuze gemaakt te gaan voldoen om mogelijke problemen met klanten te voorkomen.

[Reactie gewijzigd door Tortelli op 17 oktober 2024 11:02]

Horla @Tortelli17 oktober 2024 11:39
Op zich is de NIS2 redelijk gebaseerd op gezond verstand. Als je bv eens op cyfun.be naar het "basic" niveau kijkt (waar wij aan moeten voldoen) dan staan daar zaken in zoals risk assesment, inventaris van toestellen en softwares, back-ups, recovery plan, etc. in. Wat eigenlijk elke organisatie eigenlijk zou moeten hebben.

Pas op: ook bij ons ligt er enorm veel extra werk op de plank want we zijn met veel van die zaken niet in orde (omdat het van uit het management geen prioriteit heeft of gewoon tekort aan tijd/middelen of soms zit het plan/werkwijze in iemand zijn hoofd maar is het nooit volledig uitgeschreven of het is jaren terug uitgeschreven en nooit up-to-date gehouden).
Brenttouza @Horla17 oktober 2024 12:42
Klopt, ik doe regelmatig NIS2 assessments voor klanten en we zien dat veel bedrijven zich vooral focussen op het 'Protect' gegeven in het NIST CSF. Echter vraagt NIS2 ook duidelijk dat je alles gedocumenteerd hebt en er een stuk governance boven plakt.

Dus als je alle implementaties gedaan hebt maar niets hebt gedocumenteerd, kan je maar maximaal een 1,5/5 scoren. Je kan voor implementaties niet hoger scoren dan een 2 als je geen documentatie hebt. Afhankelijk van welk niveau de firma dient te halen, moet je gemiddeld een 3 of 3,5 scoren. Dus voor veel firma's is er inderdaad veel werk dat op zich af komt.
Tortelli @Horla17 oktober 2024 11:49
Zijn zelf ook met een implementatie bezig, het lijkt voor ons vooral veel zaken die we doen beter op papier zetten. We laten bewust bepaalde zaken extern testen zodat procedures op papier moeten komen!
Horla @IStealYourGun17 oktober 2024 11:18
Lidstaten zijn verplicht er op toe te zien met bv externe audits.
Bor Coördinator Frontpage Admins / FP Powermod @MPAnnihilator20 oktober 2024 12:35
Dat is onzin. Bij de NIS2 is er toezicht en zal je moeten aantonen dat je maatregelen treft en dat deze werken. Een externe audit is slechts 1 van de vormen.
MPAnnihilator @Bor20 oktober 2024 19:47
Praktijkervaring, niks onzin aan... ISO9001, ISO27001 als voorbeelden. Voor die auditeurs langkomen wordt gewoon een minimum aan dwaze procedures opgemaakt, en data verdraaid, opvolgmeetingen ingepland om de boel recht te kunnen trekken. Je moet es zien in grote ondernemingen hoeveel mensen er in een taskforce gestoken worden om te zorgen dat ze die controleurs om te tuin kunnen leiden.
mtNNN 17 oktober 2024 10:13
Bepalingen uit niet omgezette richtlijnen hebben in sommige gevallen directe werking nadat de deadline voor het omzetten in nationale wetgeving is verstreken.
latka @mtNNN17 oktober 2024 10:32
Is dat voor NIS2 ook het geval? En indien ja: weet je ook welke delen dat voor geldt?
warrg 17 oktober 2024 11:35
Dit leek me geen alles of niets situatie. Ik wou dus de nuances opzoeken van welk land nu feitelijk hoever staat.
Zoals ik het begrijp zijn er (simpel gezegd) zo'n 4 stadia's te doorlopen.
  1. Voorbereiding : eerste voorstellen, informatierondes, sectorbevragingen.
  2. Implementatie : wetten in kwestie effectief schrijven en voorleggen.
  3. Transpositie : Wetvoorstel goedgekeurd, gepubliceert en datum inwerkingtreding officieel bekendgemaakt.
  4. Wet is effectief in werking.
Die 17/10 deadline van dit artikel gaat over stap 4.

Ons artikel zegt dus 'enkel belgie en kroatie', wat ook bevestigd wordt in de bron zelf.
Maar die lijkt helemaal niet up to date of compleet.

Andere bronnen van het artikel zelf geven zelf al andere info, bijvoorbeeld de tool gelinkt in de laatste paragraaf .
  • 4) Transposed completed : Croatia, Italy.
  • 3) Implementation ongoing : oa Belgie
  • 2) Preparation ongoing : oa Nederland
  • 1) Not started : Estonia, Portugal.
Spotcheck op 1tje lijkt te bevestigen dat de italiaanse wet effectief in werking is sinds gisteren 16/10.


En om nog een andere tool (inclusief kaartjes) ander tool (inclusief kaartjes) te quoten :
  • Stage 4 - Transposed: Countries like Belgium, Hungary, Croatia, and Latvia have successfully transposed NIS2 into national law, meeting the EU requirements.
  • Stage 3 - Drafts Submitted: Austria, Cyprus, Czech Republic, Finland, Germany, Greece, Italy, Lithuania, Luxembourg, Netherlands, Poland, Slovakia, Slovenia, and Sweden are in various stages of submitting and approving legislative drafts.
  • Stage 2 - Initial Progress: Denmark, France, Ireland, and Romania have started developing their transposition drafts but face delays and incomplete progress.
  • Stage 1 - Minimal Progress: Bulgaria, Estonia, Malta, Portugal, and Spain have made little to no progress in the transposition process, with limited information available.
Een volwaardig en compleet betrouwbaar (en recent!) overzicht heb ik dus niet jammer genoeg niet gevonden. ;(
Mocht iemand dit wel vinden zou ik dit zeker een nuttige toevoeging vinden.
kodak
@warrg17 oktober 2024 14:24
Het nieuws gaat om de harde afspraak dat landen het vanaf vandaag als lokale wet behoren te hebben. Natuurlijk kun je dan stellen dat er verschillende stadia zijn om per land tot die wetgeving te komen, maar het feit is dat de landen zelf duidelijk moeten laten blijken werkelijk het als wetgeving gemaakt te hebben. Het probleem is dat dit niet duidelijk blijkt. En dan is het op sinds vandaag niet meer genoeg om in de andere stadia bezig te zijn. De afspraken zijn juist dat het de lokale wetgeving duidelijk van kracht is, zodat verantwoordelijken niet langer gelegenheid nemen of krijgen om deze nog langer uit te stellen.
warrg @kodak18 oktober 2024 10:01
Correct, gaat over wie nu volledig in orde is.

De officiele bron was gisteren echter niet up to date, waardoor het artikel in het groot 'slechts 2 in orde' naar voor schoof, ook al waren andere bronnen reeds beter aangevuld.

Kijken we vandaag opnieuw, staan er al 5 volledig OK : Belgie, Croatie, Italie, Letland, Litouwen.
TunderNerd 17 oktober 2024 11:21
En hier zien we het probleem van een "Directive" (Europese wetgeving die een lidstaat moet implementeren in eigen wetten) en een "Regulation" (Direct via Europese wet geimplementeerd). Bijvoorbeeld de nieuwe Machine wetgeving wordt een Regulation (actief 2027) om het hele pijnlijke proces van elke lidstaat te laten implementeren.
En breek me de bek niet open van verschillen in implementatie, lang leve het uniforme Europa
Sharky @TunderNerd17 oktober 2024 13:36
Het is een richtlijn, geen wetgeving. Landen moeten minimaal aan de richtlijn doen in de lokale wetgeving, maar het mag ook strenger.
theduke1989 17 oktober 2024 12:02
Kan iemand me vertellen waarom het uitschakelen van "clear Browser History" iets is als cybersecurity regulatory?
Cilph @theduke198917 oktober 2024 14:08
Waarom het een goed idee is om op de werkvloer de "Clear Browser History" uit te schakelen vraag je? Zodat je een extra auditspoor hebt bij incidenten lijkt me.
sebastienbo @Cilph17 oktober 2024 15:41
Idd, je kan dan bewijsmateriaal wissen. Browser history is niet hetzelfde als browser cache die je wel mag weggooien.
CAPSLOCK2000
@theduke198917 oktober 2024 15:24
Kan iemand me vertellen waarom het uitschakelen van "clear Browser History" iets is als cybersecurity regulatory?
Misschien is het handig als je wat context geeft. Ik neem aan dat je dit ergens uit NIS2-gerelateerde voorschriften haalt.
Ik wil wel even wat speculeren. Wat bij me opkomt is dat het gaat om controleerbaarheid. Security wil achteraf kunnen controleren wat er precies op een systeem is gebeurd, zodat je kan zien wat de hacker deed, of hoe je eigen personeel in de val is gelokt, of dat een mol in je organisatie heeft zitten lekken. Browser History bijhouden kan daar deel van zijn (ik laat me niet uit over hoe zinnig of betrouwbaar dat is).
MPAnnihilator @CAPSLOCK200017 oktober 2024 17:09
Normaal wis je je sporen uit. Die richtlijn helpt eigenlijk niets...
theduke1989 @CAPSLOCK200017 oktober 2024 18:23
Daarvoor heb je firewalls, en logs. Hoef je geen policy voor te hebben om dat te blokkeren. Vooral nu je meer en meer met websites werkt is het soms handig om te wissen.

Dit is gewoon dat ze kunnen zien wat je allemaal bezoekt. Maar als je een aanval uitvoert is het al te laat.wat heeft die onzin policy dan voor nut?

[Reactie gewijzigd door theduke1989 op 17 oktober 2024 18:33]

-Vasa- @theduke198925 oktober 2024 15:55
Remote workers die enkel via M365 inloggen op je werk-omgeving, maar ook af en toe op kantoor komen, ga je weinig van in je logs van je firewall vinden.

Een aanval kan ook gewoon zijn dat je onmiddelijk detecteert dat er iets mis is met die laptop en die geïsoleerd wordt door je security systemen. Echter is het tegenwoordig verplicht dat je die zaken onderzoekt en catalogeerd volgens een cyber response plan. Als je dus in je onderzoek ziet dat je medewerker op zijn werklaptop van thuis wat zat te torrenten en die een exe gedownload heeft, moet je je geen zorgen maken over een spearphishing attack of iets dergelijk.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq