Wat gaan verkeerd met NIS 2-nakoming, en hoe om dit reg te stel

Deur Phil Muncaster • 6 Mei 2025

’n “Eenmalig en klaar”-mentaliteit is nie die regte pasmaat vir regulatoriese nakoming nie – inteendeel. Die meeste globale regulasies vereis voortdurende verbetering, monitering en gereelde oudits en assesserings. Die EU se NIS 2-richtlijn is geen uitsondering nie.

Daarom sal baie KISO's en voldoeningsleiers die jongste verslag van die EU-Veiligheidsagentskap (ENISA) interessante leesstof vind. ENISA NIS360 2024 beskryf ses sektore wat sukkel met voldoening en wys uit hoekom, terwyl dit beklemtoon hoe meer volwasse organisasies die voortou neem. Die goeie nuus is dat organisasies wat reeds volgens ISO 27001 gesertifiseer is, sal vind dat dit relatief eenvoudig is om die gapings tot NIS 2-nakoming te oorbrug.

Wat is nuut in NIS 2

NIS 2 is die EU se poging om sy vlagskipwet oor digitale veerkragtigheid vir die moderne era op te dateer. pogings fokus op:

Uitbreiding van die aantal sektore wat deur die richtlijn gedek word
Bekendstelling van meer konkrete basiese kuberveiligheidsvereistes
Vermindering van teenstrydighede in vlakke van veerkragtigheid tussen verskillende sektore
Verbetering van inligtingdeling, voorvalreaksie en risikobestuur in die voorsieningsketting
Hou senior bestuur aanspreeklik vir enige growwe mislukkings

Britse organisasies sal hul eie opgedateerde weergawe van die oorspronklike Netwerk- en Inligtingstelsels (NIS)-richtlijn kry wanneer die Wetsontwerp op kuberveiligheid en veerkragtigheid vind uiteindelik sy weg na die wet. Baie verskaf egter dienste aan Europese burgers en/of is op die vasteland bedrywig, wat beteken dat hulle binne die bestek van NIS 2 val. Vir hierdie organisasies kan NIS360 'n nuttige leesstof wees.

Watter sektore sukkel?

Van die 22 sektore en subsektore wat in die verslag bestudeer is, word ses as in die "risikosone" vir voldoening beskou – dit wil sê, die volwassenheid van hul risikohouding hou nie tred met hul kritieke aard nie. Hulle is:

IKT-diensbestuur: Alhoewel dit organisasies op 'n soortgelyke wyse as ander digitale infrastruktuur ondersteun, is die sektor se volwassenheid laer. ENISA wys op die "gebrek aan gestandaardiseerde prosesse, konsekwentheid en hulpbronne" om tred te hou met die toenemend komplekse digitale bedrywighede wat dit moet ondersteun. Swak samewerking tussen grensoverschrijdende spelers vererger die probleem, asook die "onvertroudheid" van bevoegde owerhede (CA's) met die sektor.

ENISA dring onder andere aan op nouer samewerking tussen CA's en geharmoniseerde grensoverschrijdende toesig.

ruimte: Die sektor is toenemend krities in die fasilitering van 'n reeks dienste, insluitend telefoon- en internettoegang, satelliet-TV- en radio-uitsendings, monitering van grond- en waterhulpbronne, presisieboerdery, afstandwaarneming, bestuur van afstandsinfrastruktuur en logistieke pakketopsporing. As 'n nuut gereguleerde sektor, merk die verslag egter op dat dit nog in die vroeë stadiums is van aanpassing aan NIS 2 se vereistes. 'n Swaar afhanklikheid van kommersiële gereedgemaakte produkte (COTS), beperkte belegging in kuberveiligheid en 'n relatief onvolwasse inligtingdelingshouding dra by tot die uitdagings.

ENISA dring aan op 'n groter fokus op die verhoging van sekuriteitsbewustheid, die verbetering van riglyne vir die toetsing van COTS-komponente voor ontplooiing, en die bevordering van samewerking binne die sektor en met ander vertikale soos telekommunikasie.

Openbare administrasies: Dit is een van die mins volwasse sektore ten spyte van sy belangrike rol in die lewering van openbare dienste. Volgens ENISA is daar geen werklike begrip van die kuberrisiko's en -bedreigings waarmee dit te kampe het nie, of selfs wat binne die omvang van NIS 2 is. Dit bly egter 'n belangrike teiken vir hacktiviste en staatsgesteunde bedreigingsakteurs.

ENISA beveel 'n gedeelde diensmodel met ander openbare entiteite aan om hulpbronne te optimaliseer en sekuriteitsvermoëns te verbeter. Dit moedig ook openbare administrasies aan om ouer stelsels te moderniseer, in opleiding te belê en die EU-wet oor kuber-solidariteit te gebruik om finansiële steun te verkry vir die verbetering van opsporing, reaksie en remediëring.

Maritiem: Die sektor is noodsaaklik vir die ekonomie (dit bestuur 68% van vrag) en baie afhanklik van tegnologie, en word uitgedaag deur verouderde tegnologie, veral OT.

ENISA beweer dat hulle kan baat vind by pasgemaakte leiding vir die implementering van robuuste kuberveiligheidsrisikobestuurskontroles – met die prioritisering van ontwerp-veilige beginsels en proaktiewe kwesbaarheidsbestuur in maritieme OT. Dit doen 'n beroep op 'n kuberveiligheidsoefening op EU-vlak om multimodale krisisreaksie te verbeter.

Gesondheid: Die sektor is noodsaaklik en maak 7% van besighede en 8% van werkgeleenthede in die EU uit. Die sensitiwiteit van pasiëntdata en die potensieel dodelike impak van kuberbedreigings beteken dat voorvalreaksie van kritieke belang is. Die diverse reeks organisasies, toestelle en tegnologieë binne die sektor, hulpbrontekorte en verouderde praktyke beteken egter dat baie verskaffers sukkel om verder as basiese sekuriteit te kom. Komplekse voorsieningskettings en ouer IT/OT vererger die probleem.

ENISA wil meer riglyne sien oor veilige verkryging en beste praktyksekuriteit, personeelopleiding en bewustmakingsprogramme, en meer betrokkenheid by samewerkingsraamwerke om bedreigingsopsporing en -reaksie te bou.

gas: Die sektor is kwesbaar vir aanvalle danksy sy afhanklikheid van IT-stelsels vir beheer en interkonnektiwiteit met ander nywerhede soos elektrisiteit en vervaardiging. ENISA sê dat voorvalvoorbereiding en -reaksie besonder swak is, veral in vergelyking met eweknieë in die elektrisiteitsektor.

Die sektor behoort robuuste, gereeld getoetste voorvalreaksieplanne te ontwikkel en samewerking met die elektrisiteits- en vervaardigingsektore te verbeter oor gekoördineerde kuberverdediging, gedeelde beste praktyke en gesamentlike oefeninge.

Wat doen die leiers reg?

Volgens ENISA is die sektore met die hoogste volwassenheidsvlakke om verskeie redes noemenswaardig:

Meer omvattende kuberveiligheidsriglyne, moontlik insluitend sektorspesifieke wetgewing of standaarde
Sterker toesig en ondersteuning van EU-owerhede wat vertroud is met die sektor en sy uitdagings
Dieper begrip van risiko en meer effektiewe risikobestuur
Sterker samewerking en inligtingdeling tussen entiteite en owerhede op nasionale en EU-vlak
Meer volwasse operasionele gereedheid deur middel van goed getoetste planne

Hoe om suksesvol te wees met NIS 2-nakoming

Daar moet onthou word dat geen twee organisasies in 'n spesifieke sektor dieselfde is nie. Die bevindinge van die verslag is egter leersaam. En hoewel 'n deel van die las vir die verbetering van voldoening op die skouers van KA's rus – om toesig, leiding en ondersteuning te verbeter – gaan 'n groot deel daarvan oor die neem van 'n risikogebaseerde benadering tot kuber. Dit is waar standaarde soos ISO 27001 tot hul reg kom, wat detail byvoeg wat NIS 2 dalk kortkom, volgens Jamie Boote, mede-hoof sagteware-sekuriteitskonsultant by Swart eend:

“NIS 2 is op 'n hoë vlak geskryf omdat dit op 'n wye reeks maatskappye en nywerhede van toepassing moes wees, en as sodanig kon dit nie pasgemaakte, voorskriftelike leiding insluit behalwe om maatskappye in te lig oor waaraan hulle moes voldoen nie,” verduidelik hy aan ISMS.online.

“Terwyl NIS 2 vir maatskappye sê dat hulle 'voorvalhantering' of 'basiese kuberhigiënepraktyke en kuberveiligheidsopleiding' moet hê, sê dit nie vir hulle hoe om daardie programme te bou, die beleid te skryf, personeel op te lei en voldoende gereedskap te verskaf nie. Die insluiting van raamwerke wat in detail gaan oor hoe om voorvalhantering of voorsieningskettingsekuriteit te doen, is van kardinale belang wanneer daardie beleidsverklarings in al die elemente ontleed word wat die mense, prosesse en tegnologie van 'n kuberveiligheidsprogram uitmaak.”

Chris Henderson, senior direkteur van bedreigingsbedrywighede by Huntress, stem saam dat daar 'n beduidende oorvleueling tussen NIS 2 en ISO 27001 is.

“ISO27001 dek baie van dieselfde bestuurs-, risikobestuurs- en verslagdoeningsverpligtinge wat onder NIS 2 vereis word. As 'n organisasie reeds hul ISO 27001-standaard verkry het, is hulle goed geposisioneer om ook die NIS2-beheermaatreëls te dek,” sê hy vir ISMS.online. “Een gebied wat hulle sal moet verbeter, is krisisbestuur, aangesien daar geen ekwivalente ISO 27001-beheer is nie. Die verslagdoeningsverpligtinge vir NIS 2 het ook spesifieke vereistes wat nie onmiddellik deur die implementering van ISO 27001 nagekom sal word nie.”

Hy dring daarop aan dat organisasies begin deur verpligte beleidselemente van NIS 2 te toets en dit te koppel aan die beheermaatreëls van hul gekose raamwerk/standaard (bv. ISO 27001).

“Dit is ook belangrik om gapings in 'n raamwerk self te verstaan, want nie elke raamwerk bied moontlik volledige dekking van 'n regulasie nie, en as daar enige ongekarteerde regulatoriese verklarings oorbly, moet 'n bykomende raamwerk moontlik bygevoeg word,” voeg hy by.

Dit gesê, nakoming kan 'n groot onderneming wees.

“Voldoeningsraamwerke soos NIS 2 en ISO 27001 is groot en vereis 'n aansienlike hoeveelheid werk om te bereik,” sê Henderson. “As jy 'n sekuriteitsprogram van nuuts af bou, is dit maklik om ontledingsverlamming te kry wanneer jy probeer verstaan waar om te begin.”

Dit is waar derdeparty-oplossings, wat reeds die karteringswerk gedoen het om 'n NIS 2-gereed voldoeningsgids, kan help.

Morten Mjels, uitvoerende hoof van Green Raven Limited, skat dat ISO 27001-nakoming organisasies sowat 75% van die pad na belyning met NIS 2-vereistes sal neem.

“Nakoming is ’n voortdurende stryd met ’n reus (die reguleerder) wat nooit moeg word nie, nooit moed opgee nie en nooit swig nie,” sê hy vir ISMS.online. “Daarom het groter maatskappye hele departemente wat toegewy is aan die versekering van nakoming oor die hele linie. As jou maatskappy nie in daardie posisie is nie, is dit die moeite werd om met een te konsulteer.”

Kyk na hierdie webinaar om meer te leer oor hoe ISO 27001 prakties kan help met NIS 2-nakoming.

Phil Muncaster

Phil Muncaster is al 20 jaar 'n IT-joernalis. Hy het in 2005 begin as 'n verslaggewer oor IT-ondernemingstitel IT Week en het tot die rol van Nuusredakteur gevorder voordat hy vertrek het om 'n vryskutloopbaan te volg. Sedertdien het Phil vir titels geskryf, insluitend The Register, waar hy as Asië-korrespondent gewerk het terwyl hy meer as twee jaar in Hong Kong gevestig was, MIT Technology Review, SC Magazine, Infosecurity Magazine en ander.

Lees meer van Phil Muncaster

cyber Security 11 Desember 2025

Is 'n agentiese KI-sekuriteitsbreuk onvermydelik in 2026 banier

Is 'n Agentic KI-sekuriteitsbreuk onvermydelik in 2026?

Dit mag dalk drie jaar wees sedert die bekendstelling van ChatGPT 'n nuwe tegnologie-wapenwedloop afgeskop het, maar alle oë is nou op agent-KI. Boosters beweer dat dit...

Phil Muncaster

Informasiesekuriteit 9 Desember 2025

'n jaar in voldoening vyf dinge wat ons in 2025 geleer het banier

'n Jaar in Nakoming: Vyf Dinge wat Ons in 2025 Geleer het

Die afgelope 12 maande het weereens bewys dat die kuberveiligheidslandskap selde 'n tekort aan voorvalle het. Groot sekuriteitsbreuke kos organisasies ...

Phil Muncaster

cyber Security 3 Desember 2025

wat die wetsontwerp op kuberveiligheid en veerkragtigheid vir kritieke infrastruktuur beteken

Wat die Wet op Kuberveiligheid en Veerkragtigheid vir Kritieke Infrastruktuur beteken

Dit het lank geneem om te kom. Nadat dit so ver terug as die King's Speech in 2024 geslaap is, het die Kubersekuriteits- en Veerkragtigheidswetsontwerp (CSRB) finaal...

Phil Muncaster