Omdat online-criminaliteit alleen maar toeneemt, is er vanuit de politiek meer aandacht voor cybersecurity. Hierdoor neemt niet alleen de technische, maar ook de juridische complexiteit toe. Dat cybersecurity de belangstelling krijgt die het verdient blijkt ook uit de onlangs geïntroduceerde opvolger van de NIS-richtlijn: NIS2.
NIS is een Europese richtlijn en heeft als doel om eenheid en samenhang te brengen in Europees beleid voor netwerk- en informatiebeveiliging. De opvolger, NIS2, zorgt ervoor dat de cybersecurity eisen voor ongeveer 160.000 vitale Europese organisaties zijn verhoogd. De wetgeving bevat verschillende voorschriften voor 24/7 incident-response, preventie, de effectiviteit van maatregelen, het handhaven van basale computerhygiëne, het trainen van werknemers, het gebruik van cryptografie, assetmanagement, toegangscontrole en beleid en procedures in het geval van incidenten en crisissen.
De handhaving en toezicht op implementatie van NIS2 worden rond deze tijd gespecificeerd. Zogenaamde competent authorities worden hiervoor lokaal aangesteld en zullen moeten worden uitgebreid met meer kennis en kunde. De competent authorities gaan ook controles uitvoeren. Deze controles kunnen op elk moment worden uitgevoerd. Dit in tegenstelling tot de GDPR-wetgeving waar organisaties alleen worden gecontroleerd als er een incident heeft plaatsgevonden.
Hoewel dit op papier erg vooruitstrevend klinkt, zal het voor veel organisaties ingewikkeld worden om NIS2 toe te passen. Vooral voor het mkb gaat dit een opgave te worden, omdat daar vaak de kennis en vaardigheden ontbreken. Met name de richtlijnen omtrent het procedurebeleid en incidentbehandeling zullen de nodige uitdagingen opleveren.
Procedurebeleid
NIS is een richtlijn om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen. Want hoe weet je of de maatregelen, zoals 2fa-cryptografie of firewalls, altijd zo zijn ingericht dat ze de meest waardevolle data zo goed mogelijk beschermen? Hoe weet je of nieuwe beleids- en toegangsregels zijn doorgevoerd in je hele infrastructuur en in de cloud? Om hier achter te komen doen organisaties er verstandig aan om zero-trust als methode toe te passen. Met zero-trust richt je jouw security zodanig in dat de bewijslast voor NIS2 voor het oprapen ligt.
Zero trust is een strategie om cybersecurity effectief en meetbaar vorm te geven. Het legt een verband tussen welke data heb ik en welke data zijn het meest belangrijk. Met de zero-trust-securityaanpak kies je voor het effectief verkleinen van het aanvalsoppervlak van de gehele infrastructuur dus niet alleen de endpoints, de loud of het netwerk. Door de gehele infrastructuur te beschouwen en dit op te delen in verschillende (micro)segmenten en beveiligingsmaatregelen toe te passen in samenhang met de gevoeligheid van de data binnen dat segment, zorg je ervoor dat een incident of een inbraak alleen impact heeft op een specifiek segment en niet op het gehele netwerk. Hierdoor kun je zowel het risico als de impact verkleinen. Onze vicepresident John Kindervag heeft hier een vijf stappen proces voor ontwikkeld, waarmee organisaties een goede stap kunnen maken met NIS2. Het proces wordt overigens ook aanbevolen door het Nationaal Cyber Security Centrum (NCSC).
Incidentbehandeling
Daarnaast zijn er ook nog de NIS2-richtlijnen rondom incidentbehandeling. Middels deze richtlijnen wil Europa volwassen organisaties creëren die niet alleen cyberdreigingen kunnen detecteren, maar ook snel en effectief kunnen reageren bij een incident. Om dit te realiseren, doen organisaties er verstandig aan om zich te beveiligen met extended detection en response (xdr). Xdr staat in dienst van zowel het security operations center (soc), alsmede het incidentresponseteam binnen een organisatie. Het breidt de zichtbaarheid uit naar een bredere omgeving dan alleen het endpoint en biedt automatische detectie en correlatie over de verschillende securitylagen. Hierdoor wordt er niet alleen op de endpoints gecontroleerd, maar ook op het grotere aanvalsoppervlak zoals het netwerk en de cloud. Het is echter wel belangrijk dat men eerst de nodige voorbereidingen getroffen worden, voordat er gebruik kan worden gemaakt van een xdr-oplossing. Denk aan het in kaart brengen van het aanvalsoppervlak en de transactiestromen, het bouwen van een zero-trust-architectuur, het ontwikkelen van een zero-trust-beleid en het monitoren en onderhouden van het netwerk.
De meeste organisaties zullen waarschijnlijk niet de kennis en vaardigheden hebben om een eigen soc op te bouwen. Voor deze organisaties kan het praktischer zijn om hun security uit te besteden aan een specialist met een 24/7-soc. Het is belangrijk dat een dergelijke partij ook een computer security incident response-team klaar heeft staan. Niet alleen voor als er een incident plaatsvindt, maar ook omdat dit in de richtlijnen van NIS2 staat.
Fantastisch initiatief
Hoewel NIS2 op papier klinkt als een fantastisch initiatief om de digitale maatschappij veiliger te maken, zullen we ervoor moeten waken dat het ook in de praktijk goed wordt toegepast. Bij de invoering van de GDPR hebben we gezien dat veel ondernemers het lastig vinden om de maatregelen in de praktijk in te voegen. Dit brengt risico’s met zich mee, met alle gevolgen van dien. Zorg daarom voor praktische ondersteuning op basis van zero-trust, in plaats van meer papierwerk. Op deze manier kunnen we cyberrisico’s voorkomen.