NIS2 moet praktischer worden ingestoken!

Onlangs werd de opvolger van de NIS-richtlijn geïntroduceerd. NIS is een Europese richtlijn en heeft als doel om eenheid en samenhang te brengen in Europees beleid voor netwerk- en informatiebeveiliging. De nieuwe opvolger, NIS2, zorgt ervoor dat de cybersecurityvereisten worden aangescherpt voor Europese organisaties in kritieke sectoren van middelgrote tot grote omvang.

Het is zeer waarschijnlijk dat de meeste Operationele Technologie (OT) systemen ook onder NIS2 vallen. Deze systemen zijn immers te vinden in diverse sectoren en voeren taken uit, variërend van het bewaken van kritieke infrastructuur tot het besturen van robots op een productievloer. Organisaties kunnen bij het Nationaal Cyber Security Centrum (NCSC) controleren of ze onder de NIS2-richtlijn vallen.

Traag en vaag
Hoewel NIS2 een zeer goed initiatief is, blijkt nu al dat de voorbereiding voor de consultatie over de Nederlandse implementatie van de Europese cybersecurityrichtlijn uitstel oploopt. Demissionair minister Dilan Yeşilgöz-Zegerius liet dit onlangs weten middels een brief aan de Tweede Kamer. In de brief staat: “Het omzetten van de richtlijnen in nationale wetgeving vraagt meer tijd dan in eerste instantie werd verwacht. De conceptwetsvoorstellen zullen naar verwachting voor de zomer van 2024 in consultatie worden gebracht. Gelet op de benodigde vervolgstappen in het wetgevingstraject concludeer ik dat de implementatiedeadline van de Europese Commissie voor beide richtlijnen, te weten 17 oktober 2024, niet wordt gehaald.”

Dat de implementatie langer gaat duren is zorgelijk. De eerdere ervaringen met de implementatie van GDPR lieten immers zien dat ondernemers grote moeite hadden met het toepassen van maatregelen. Het is daarom belangrijk dat er zo snel mogelijk duidelijkheid komt. Bovendien is de gehele richtlijn nog steeds vrij onduidelijk. Volgens NIS2 benadrukt de overheid het cruciale belang voor organisaties om 'passende maatregelen' te nemen om de beveiliging van hun netwerken en informatiesystemen te waarborgen en cyberdreigingen effectief aan te pakken. Echter, de definitie van 'passende maatregelen' blijft enigszins vaag, ondanks de lijst van maatregelen in Artikel 21 van de NIS2-richtlijn.

Wel biedt het Digital Trust Center (DTC) een driestappenplan waar organisaties rekening mee kunnen houden ter voorbereiding. Allereerst is het belangrijk om te bepalen wat je wilt beschermen. Maak daarom een risicoanalyse van de digitale dreigingen die de dienstverlening van jouw organisatie kunnen verstoren. Dit houdt in dat je duidelijk definieert welke aspecten van je organisatie, netwerken of informatiesystemen je wilt beveiligen. Vervolgens is het nodig om de risico's te identificeren en scenario's te creëren. Hierbij gaat het om het herkennen van mogelijke bedreigingen, zoals ransomware of een datalek, en het opstellen van bijbehorende scenario's.

Na het ontwikkelen van de risicoanalyse adviseert het DTC om waar mogelijk maatregelen te nemen die jouw organisatie (beter) beschermen tegen deze risico’s. Het antwoord op de vraag welke maatregelen je als organisatie moet nemen, is uiteraard maatwerk en afhankelijk van jouw eigen analyse en beoordeling van de risico’s. Ten slotte geeft het DTC aan dat organisaties ervoor moeten zorgen dat er procedures zijn om incidenten te detecteren, te monitoren, op te lossen en te melden aan de rijksoverheid.

 
Er is meer duidelijkheid nodig
Hoewel het driestappenplan goed weergeeft wat organisaties kunnen doen om risico´s te voorkomen, bieden de stappen niet genoeg houvast om aan de nieuwe NIS2 te voldoen. Bovendien hebben organisaties vaak niet de kennis om de stappen uit te voeren. Voor deze organisaties kan het praktischer zijn om de stappen uit te besteden. Op deze manier hebben ze zeker een solide securitybeleid en weten ze waar de zwakheden zich bevinden in het netwerk. Zorg er ook voor dat in het securitybeleid een incident response plan is opgenomen. Naast het identificeren van de risico’s is het belangrijk dat medewerkers goed op de hoogte worden gesteld van de risico’s en de digitale belangen van het bedrijf. Door medewerkers voor te lichten en bewust te maken over de risico’s en welke handelingen ze moeten uitvoeren kunnen aanvallen worden voorkomen.

Opvallend is dat het stappenplan weinig advies geeft over welke technologische keuzes organisaties kunnen maken. Het kiezen van nieuwe technologie is vaak een ingewikkeld proces, gezien er zoveel security oplossingen en aanbieders zijn, waardoor organisaties door de bomen het bos niet meer zien. Wanneer organisaties op zoek zijn naar een oplossing om hun Operationele Technologie (OT) te beschermen, is het cruciaal om te kiezen voor een technologie met een 'agentloze architectuur'. Deze aanpak elimineert de noodzaak van het installeren van afzonderlijke software op operationele technologie assets.

Bovendien biedt een agentloze benadering de mogelijkheid om aanpassingen veilig te testen in een afzonderlijke omgeving, voordat ze daadwerkelijk worden geïmplementeerd. Tevens automatiseert een agentloze oplossing het proces van cyberbeveiliging voor IT-apparatuur in operationele omgevingen, wat resulteert in aanzienlijke besparingen op onderhoudstijd. Een geautomatiseerde cyberbeveiliging zorgt er ook voor dat gebruikers real-time en voortdurend gedetailleerde informatie over de aanwezige assets in de IT-infrastructuur krijgen. Op deze manier kan er sneller en efficiënter worden gereageerd op dreigingen en is de kans op menselijke fouten kleiner.

Daarnaast kunnen dankzij automatisering alle wijzigingen, zoals configuraties, updates en revisies, automatisch gecontroleerd en vergeleken worden met de databases om bekende kwetsbaarheden in real-time te detecteren. Verder is het implementeren van beschermings- en verhardingsmaatregelen van cruciaal belang. Hardenen houdt in dat het computersysteem zodanig wordt dichtgetimmerd en beschermd dat het alleen de primaire functie waarvoor het bedoeld is kan uitvoeren. Op deze manier zijn assets beveiligd tegen ontbrekende patches, verkeerd geconfigureerde services en andere beveiligingsproblemen.

Meer praktische ondersteuning
Kortom, de overheid zal er voor moeten zorgen dat NIS2 in de praktijk effectief en snel kan worden toegepast. Dit kan worden gerealiseerd door meer duidelijkheid, een nauwkeurige aanpak en gerichte (praktische) ondersteuning. De eerdere ervaringen met de implementatie van GDPR laten zien dat ondernemers moeite hebben met het toepassen van maatregelen, wat risico's met zich meebrengt. Aan de andere kant zullen ook organisaties hun verantwoordelijkheid moeten nemen en cybersecuritymaatregelen implementeren vanuit intrinsieke motivatie. Op deze manier kunnen we NIS2 tot een succes maken, cyberrisico's voorkomen en de digitale maatschappij veiliger maken.

Photo: Istock.com/Pheelings Media