Implementatie NIS2 gaat om doelen en prioriteiten

Cyber Trend Micro NIS2 richtlijn China Network en Information Security richtlijn NIS-2-richtlijn

Nieuwe en scherpere securitywetgeving komt in de vorm van de nieuwe Network en Information Security richtlijn (NIS) op ons af. Nu steeds meer economische sectoren onder deze wet vallen, moeten bedrijven met veel operationele technologie voldoen aan deze richtlijn. Grijp de aanwijzingen uit NIS2 aan om concrete doelen en prioriteiten te stellen. Niet alleen om te zorgen dat je compliant bent, maar ook om de digitale weerbaarheid te versterken.

Eind december 2022 heeft het Europees Parlement de nieuwe NIS-richtlijn aangenomen. We hebben het over de nieuwe Network en Information Security richtlijn (NIS2), want de eerste versie stamt al uit 2016. De Nederlandse regering heeft deze richtlijn verankerd in de Beveiliging Netwerk- en Informatiesystemen (WBNI). De EU en de lidstaten beoordelen de NIS uit 2016 nu als ontoereikend en daarom komt de EU met een set aanvullende regels, NIS2 dus. Een aanvullende set regels klinkt niet verontrustend. Feit is echter dat de impact van NIS2 aanzienlijk is toegenomen. Het is dan ook noodzakelijk dat je als organisatie in kaart brengt wat er voor jouw situatie verandert, ruim voordat NIS2 uiterlijk in oktober 2024 is verwerkt in nationale wetgeving.

Nieuwe Network en Information Security richtlijn: essentieel of belangrijk?

Wat meteen opvalt is dat het aantal sectoren dat rekening moet houden met de wetgeving fors is uitgebreid. Onder de NIS vallen bijvoorbeeld nutsbedrijven, zorgleveranciers en (digitale) service providers, zoals cloudleveranciers. Onder de nieuwe Network en Information Security richtlijn vallen ook sectoren als telecom, social media platforms, voedingsmiddelenindustrie, afvalverwerking en openbaar bestuur. Organisaties in deze sectoren kun je in twee groepen indelen, wat uiteindelijk een groot verschil maakt ten aanzien van de benadering van NIS2. Het gaat om:

  • Aanbieders van essentiële diensten. Zij krijgen te maken met een vorm van proactief toezicht. Denk hierbij aan partijen die in de vitale sectoren actief zijn, zoals energie en zorg.
  • Aanbieders van belangrijke diensten, die onder een reactief regime gaan vallen. Autoriteiten komen pas in actie op het moment dat security-incident gebeurt. Dit betreft bedrijven en instellingen waarbij een verstoring van de dienstverlening niet leidt tot maatschappelijke ontwrichting.

Los van alle sectoren gaan organisaties met een omzet van 10 miljoen euro of meer en met 50 medewerkers onder deze nieuwe wetgeving vallen. Veel organisaties in de productie-industrie vallen nu dus in een nieuwe categorie van de nieuwe Network en Information Security richtlijn en moeten de gevolgen in kaart brengen.

Monitoren van de supply chain

Een ander opvallend en ingrijpend aspect van NIS2 is het feit dat je als organisatie het securitylevel van je partners zoals leveranciers moet monitoren. Je moet in kaart brengen in hoeverre zij ook voldoen aan de nieuwe Network en Information Security richtlijn. Dit is een logische ontwikkeling wanneer je bedenkt dat partners in complete supply chains digitaal met elkaar verbonden zijn. Zij wisselen naadloos informatie uit en koppelen applicaties en processen aan elkaar. Een kwetsbaarheid bij partner X leidt tot forse risico’s bij partner Y.

Dit geldt uiteraard ook voor technologiepartners, zoals leveranciers van toegangspassen of cloudapplicaties. Een lek of een hack bij zo’n toeleverancier kan in de hele keten tot problemen leiden, wat in het verleden ook is gebleken. Met deze paragraaf in NIS2 moeten dit soort incidenten tot het verleden behoren.

In industriële omgevingen wordt ook veel gebruik gemaakt van toegangspassen; zowel voor fysieke toegang op een locatie maar ook om digitale werkstations te ontgrendelen. Daar komt bij dat partijen in het kader van onderzoek en development ook samenwerken met kennispartners, hier wil je ook van weten of zij security het goed geregeld hebben.  

De standaard reactie is de verantwoordelijkheden via back to back contracten formeel af te dekken. Daarmee is het vraagstuk van compliancy opgelost. Zoals beschreven in een eerder blog op IndustrieVandaag, zou compliancy een gevolg moeten zijn van goede maatregelen. Ga met leveranciers in gesprek welke maatregelen goed aansluiten voor een betere cyber weerbaarheid. Vraag leveranciers bijvoorbeeld om:

  1. Actief patch beleid.
  2. De functionaliteit inbouwen om cyber log informatie te versturen.
  3. Role based werken inbouwen waar mogelijk.
  4. Veilige voorzieningen inbouwen voor onderhoud op afstand.

Een recent voorbeeld is het datalek bij een softwareleverancier van marktonderzoeker Blauw, waardoor ook klanten van NS en CZ de dupe werden. Deze gebeurtenis toont aan hoe groot de afhankelijkheid is van de supply chain. Het is belangrijk dit soort scenario’s van tevoren door te spreken met de leveranciers en herstelmaatregelen te bepalen.

Hoe je gaat beginnen

Het is belangrijk dat organisaties de nieuwe Network en Information Security richtlijn zien als een kans om de digitale weerbaarheid te verbeteren en niet als ‘weer een nieuwe wet’ die ‘Brussel’ oplegt. Weet namelijk dat het dreigingslandschap omvangrijker en complexer is geworden: ransomware vormt nog altijd een bedreiging  en statelijke actoren zijn uit op business intelligence. Maar waar moet je beginnen? Om deze vraag te beantwoorden breng je eerst in kaart waar je grootste assets zitten en dus de grootste risico’s. Voor productiebedrijven betekent dit volgens het IEC62443 normenkader een risicoanalyse uitvoeren en vaststellen welk Security Level Target (SLT) haalbaar is. Daarmee bepaal je de doelen die je op weg naar verbetering van de cyber weerbaarheid wil volgen en die helpen de NIS2-compliance te bereiken. Dat is bijvoorbeeld optimale bescherming tegen cyberaanvallen. Dan kun je investeren in Identity & Access Management. Maar wanneer je deze maatregelen op orde hebt, dan kun je meer de focus leggen op detectie van security-incidenten. En dan zijn Security Discovery oplossingen een prioriteit. Stel doelen, bepaal prioriteiten en ga aan de slag.

Deze taak is voor iedere onderneming weer anders, maar je kunt terugvallen op kennis in de sector. Zeker als het gaat om bedrijven met veel Operationele Technologie is er al veel kennis beschikbaar. Maak gebruik van deze kennis en kom in actie.

Auteur: Eric ten Bos, Co-Founder & Technical lead van het Thales Cyber OT Convergence Center (OTCC).

Digitale Nieuwsbrief

SCHRIJF JE IN VOOR ONZE WEKELIJKSE NIEUWSBRIEF EN BLIJF OP DE HOOGTE VAN ALLE INDUSTRIËLE EN TECHNISCHE ONTWIKKELINGEN!

Door jouw inschrijving voor de nieuwsbrief, ga je akkoord met onze privacy voorwaarden.


Dit artikel delen op je eigen website? Geen probleem, dat mag. Meer informatie.

Avatar foto

Redactie

Dit nieuws is samengesteld door de redactie van IndustrieVandaag.
Lees meer van: Redactie