Door: Redactie - 15 februari 2023 |
Als het gaat om cybersecurity hebben organisaties de laatste jaren forse stappen gezet. Het bewustzijn rondom cybersecurity neemt toe en er zijn op nationaal en sectorniveau verschillende initiatieven om de digitale weerbaarheid te verbeteren. Maar al deze inspanningen vertalen zich nog onvoldoende in resultaten. Te vaak kan worden geconcludeerd dat kwetsbaarheden in de infrastructuur leiden tot security-incidenten en datalekken. Het is dan ook tijd om de druk op te voeren. Door de komst van een nieuwe Europese richtlijn NIS2 maakt het vrijblijvende karakter van bestaande richtlijnen plaats voor dwang, bijvoorbeeld in de vorm van boetes.
Waar je bij dwingende maatregelen echter voor moet oppassen is dat organisaties slechts op papier aan de regels voldoen. Zij zijn dan inderdaad compliant. Waar je naartoe zou moeten, is dat organisaties hun securitylandschap in kaart brengen, waar nodig maatregelen nemen en de status continu monitoren. Security is namelijk veel meer dan het afvinken van requirements. In deze blogs zetten wij u op het juiste spoor.
We hebben het concreet over de Network en Information Security richtlijn (NIS), die al sinds 2016 van kracht is. Daarmee is er een wettelijk kader gecreëerd om het algemene niveau van cybersecurity in de Europese Unie te verhogen. In Nederland is de NIS verankerd in de Wet Beveiliging Netwerk- en Informatiesystemen (WBNI). Deze wet is sinds november 2018 van kracht en voorziet in een meldplicht van incidenten en een zorgplicht, in de vorm van het treffen van beveiligingsmaatregelen. De WBNI geldt voor vitale aanbieders, rijksoverheid en digitale dienstverleners. De vitale sector, kortweg samengevat. De NIS uit 2016 wordt nu ontoereikend geacht, en daarom komt de EU met een set aanvullende regels die we simpelweg betitelen als NIS2.
Laten we eerst kort stil staan bij de resultaten van de NIS en de WBNI. Dan kijken we bijvoorbeeld naar de vereiste om een toezichthouder in te stellen. Het gaat dan om autoriteit die zich richt op het vergroten van de digitale weerbaarheid. In Nederland hebben we al sinds 2012 het Nationaal Cyber Security Center; andere lidstaten hadden zo’n autoriteit nog niet. Daarnaast is de samenwerking tussen de lidstaten versterkt door de uitwisseling van strategische en operationele informatie te vereenvoudigen.
De NIS-richtlijn heeft dus wel degelijk waarde gehad. Gezien de huidige ontwikkelingen is de noodzaak gegroeid beter weerstand tegen cybercriminaliteit te kunnen bieden. Kortom, er moet worden bijgeschakeld. Er is in een paar jaar tijd namelijk veel veranderd. De digitale transformatie is verder uitgebreid, steeds meer organisaties zijn met elkaar verbonden om effectief samen te werken. Dit werken in ketens maakt organisaties kwetsbaarder. Het dilemma hierbij is dat meer verbindingen u als organisatie slagvaardiger maakt maar per definitie ook kwetsbaarder. Door de juiste cybermaatregelen te treffen, kunt u een goede balans vinden in deze afwegingen.
Verder werd duidelijk dat de NIS richtlijn een te beperkte scope had door zich te concentreren op vitale sectoren zoals overheid, banken en nutsvoorzieningen. In de moderne samenleving zijn social media en e-commerce-platforms, food en logistieke ondernemingen minstens zo belangrijk. Het is dan ook logisch dat NIS2 een veel breder bereik heeft en dat je als organisatie moet nagaan of je daar nu mee te maken krijgt.
Dit is namelijk niet onaannemelijk. Bedrijven in een vele verschillende sectoren met een omzet van 10 miljoen euro of meer en met 50 medewerkers gaan onder deze nieuwe wetgeving vallen. Het feit dat je als organisatie nu rekening moet houden met NIS2, en de Nederlandse equivalent wanneer deze wordt ingevoerd, hoeft je niet tot wanhoop te drijven. Natuurlijk krijg je te maken met extra inspanningen en investeringen, maar deze komen de digitale weerbaarheid ten goede. Daar komt bij dat NIS2 een aantal concrete aanwijzingen bevat:
Wanneer u bekijkt in hoeverre u al voldoet aan deze wensen middels een assessment, dan komt u tot de conclusie dat veel maatregelen al staande praktijk zijn. Wat u echter niet mag vergeten, is om dit te rapporteren. U dient aan te tonen dat maatregelen zijn uitgevoerd en oplossingen geïmplementeerd door continue monitoring.
De vraag die nu voorligt is: hoe ziet het tijdspad eruit? De NIS 2 zal in Nederland vertaald worden in de WBNI2 met als voorlopige planning eind 2024. Uiteraard moeten we afwachten hoe de wetgever dit precies zal verwoorden. Echter, de NIS2 is veel concreter in wat er gedaan dient te worden. Het hoe is naar eigen invulling zolang het maar goed gemotiveerd en gedocumenteerd is.
Gewoonlijk bij wetgeving is het afwachten tot de wet geheel uitgeschreven is om daarna te focussen op details rond de formulering voor de te bepalen maatregelen. Dit vormt ook meteen de valkuil om compliancy voorop te stellen. Gezien het feit dat de NIS2 veel concreter is dan NIS1, kunt u nu al beginnen met de eerste stappen. Vooral de connectiviteit van IT, OT (operationele technologie) en IIoT (Industrial Internet of Things) in het automatiseringslandschap vraagt om verschillende middelen.
De eerste stap is dus: ga aan de slag en wacht niet tot de inkt van de Nederlandse WBNI2 is opgedroogd. In de komende blogs gaan we verder in op de gevolgen van NIS2 en presenteren wij vervolgstappen. De intentie en de ambitie is immers om cybersecurity naar een hoger niveau te brengen. Hier kun je niet snel genoeg mee beginnen.
Auteur: Eric ten Bos is Co-Founder & Technical lead van het Thales Cyber OT Convergence Center (OTCC)
Dit artikel delen op je eigen website? Geen probleem, dat mag. Meer informatie.