Organisaties die aan de NIS2-richtlijn voldoen, moeten in ieder geval de volgende drie dingen regelen:

1. Maken van risico-inventarisaties;
2. Starten met het nemen van extra maatregelen;
3. Procedures voor betere beveiliging en meldplicht opstellen.
   
   

Cybersecurity-risico’s van fysieke beveiliging voorkomen

Maar de zaken die geregeld moeten worden, stoppen niet bij de it-infrastructuur. Ook elk apparaat voor fysieke beveiliging (zoals videocamera’s, elektronische sloten, allerlei soorten sensoren en meer) kunnen immers kwetsbaar zijn voor cyberdreigingen. Doordat ze met het internet zijn verbonden kunnen ze fysieke beveiligingssystemen kwetsbaar maken voor cyberaanvallen, als deze niet goed beveiligd zijn. Ook oudere toegangscontrolesysteem zijn een gewild object van aanvallen. Om bedrijven te helpen de veiligheid van fysieke security te onderzoeken, heeft Genetec, marktleider op het gebied van software voor fysieke beveiliging, deze checklist ontwikkeld.

Veel voorkomende cybersecurity-risico’s met betrekking tot fysieke beveiliging zijn:

• Onveilige inloggegevens: wanneer gebruik gemaakt wordt van verouderde fysieke security-technologie, is het makkelijker om inlogdata en credentials te klonen;
• Verkeerde configuratie van reader-apparatuur kan leiden tot kwetsbaarheden, storingen of onbevoegde toegang;
• Skimming: Criminelen kopiëren informatie van toegangspassen en krijgen vervolgens toegang.
  
  

De NIS2-richtlijn wil dit soort problemen aanpakken en organisaties de garantie geven dat ook de fysieke beveiligingsoplossingen en devices die ze gebruiken, hun cyberveiligheid niet in gevaar brengen.

Wat betekent dit in de praktijk?

In de praktijk betekent dit, dat er een flink aantal zaken geregeld moet worden, zoals:  

• Identificeren van kritische digitale middelen. Organisaties moeten hun kritieke digitale middelen die van vitaal belang zijn, in kaart brengen. Denk aan apparatuur, software en vertrouwelijke data;  

• Management van cyberrisico’s. Organisaties moeten regelmatig risico-assessments uitvoeren om potentiële cyberdreigingen en kwetsbaarheden te identificeren en strategieën te bepalen om deze risico’s te beperken;

• Rapporteren van incidenten. In het geval van een veiligheidsincident moet er snel en adequaat melding gemaakt worden van elke gebeurtenis die van invloed kan zijn op activiteiten of beveiliging van data.
• Compliance en bewijsvoering. Alle betrokkenen moeten ervoor zorgen dat hun activiteiten en die van toeleveranciers voldoen aan NIS2-vereisten.

Dit zijn slechts enkele voorbeelden. NIS2 brengt ook op het gebied van fysieke security extra werk met zich mee, maar met de juiste oplossingen kan een groot deel van de last daarvan weggenomen worden. Een geünificeerd fysiek beveiligingsplatform waarbij cybersecurity centraal staat, helpt organisaties risico’s te beperken en compliant te zijn.