Het Europees Parlement (EP) heeft ingestemd met nieuwe wetgeving die strengere eisen aan bedrijven, overheden en infrastructuur stelt op het gebied van cyberbeveiliging. Er komen verplichtingen voor risicobeheer, rapportage en het delen van informatie. Het betreft de richtlijn inzake netwerk- en informatiebeveiliging NIB2 (in het Engels NIS2).
Nu het EP deze netwerk- en informatiebeveiliging-richtlijn heeft omarmd is het aan de EU-landen om wetgeving op basis van deze richtlijn te maken, en op die manier de beveiliging van bedrijven en instellingen die van kritiek belang zijn voor een land op een hoger niveau te brengen.
De NIB2 introduceert nieuwe regels die voor zowel lidstaten als bedrijven een gemeenschappelijke aanpak voor cyberbeveiliging moet bevorderen. De wetgeving heeft betrekking op incidentenbehandeling, beveiliging van de toeleveringsketen, encryptie en openbaarmaking van kwetsbaarheden. Deze richtlijn is een herziening van de richtlijn uit 2016 en dekt meer sectoren en activiteiten dan voorheen, stroomlijnt de rapporteringsverplichtingen en pakt de beveiliging van de toeleveringsketen aan.
De nieuwe regels beschermen sectoren zoals energie, vervoer, banken, postdiensten, zorg, logistiek, beveiliging en ict. Ook alle middelgrote en grote ondernemingen binnen deze sectoren vallen onder de wetgeving en dienen maatregelen nemen om zich beter tegen cyberaanvallen te beschermen.
Soc-certificering
David Higgins, directeur technologie EMEA bij it-beveiliger Cyberark, ziet in de nieuwe richtlijn een nuttige opvolger van het origineel: ‘De NIB2-richtlijn is niet zonder reden een vervolg op de eerste richtlijn: de digitale transformatie heeft geleid tot een cyberrisicolandschap dat veel groter is dan de traditionele doelwitten en ‘slechts’ de vitale infrastructuur. Meer organisaties zullen moeten handelen naar aanleiding van de NIB2-richtlijn en de nationale voorschriften die op basis van de richtlijn zullen worden vastgesteld.’
Sebastiaan Kors, directeur van cybersecuritybedrijf Pinewood, noemt informatiedeling cruciaal voor het tijdig detecteren en stoppen van digitale aanvallen. ‘Alleen door samenwerking kunnen we het tij keren, want het is natuurlijk niet te verkopen dat bepaalde dreigingsinformatie niet gebruikt mag worden voor het stoppen van een aanval bij een logistiek bedrijf terwijl het waterschap om de hoek wel over die informatie beschikt.’ Om de digitale weerbaarheid van de overheid en het bedrijfsleven te versterken, pleit hij voor een versnelde certificering van security operations centers (soc’s) die aansluit bij de NIB2-richtlijn. Dit initiatief is nu in ontwikkeling bij Cyberveilig Nederland en de aangesloten partners.
Ot-veiligheid?
Daan Keuper, hoofd van Security Research bij Computest, vindt het een goede zaak dat er wordt ingezet op meer informatiedeling op het gebied van dreigingen en het oefenen van incidenten. Maar hij zet wel vraagtekens bij de haalbaarheid van alle actiepunten van NIB2. ‘Het zijn er vrij veel. Het zal een flinke opgave worden om die allemaal op zo’n korte termijn op te pakken.’
Dirk de Bilde, algemeen directeur van Siemens, hamert er in een opiniestuk op om in naderende nationale implementatie van de NIB2-richtlijn ot (operationele technologie) in het hart van het risicobeleid van elke organisatie te brengen. Hij noemt het verontrustend dat de aandacht voor ot-veiligheid vaak nog tekortschiet, in vergelijking met die voor it (informatietechnologie).
