Je hoort er steeds meer over, de NIS2, maar wat is het en waarom is het belangrijk? De meeste bronnen zijn vaag en algemeen. Na het lezen ervan ben je er eigenlijk nog niet achter, terwijl het helemaal niet zo ingewikkeld is. Ik zal dit bondig toelichten.
NIS staat voor Network Information Security en is een Europese richtlijn die al sinds 2016 geldt en in Nederland onder de naam Wet beveiliging netwerk- en informatiebeveiliging (Wbni) wordt gehandhaafd sinds 2019. Welk probleem lost NIS-regelgeving op? Als een land betrokken raakt in een digitale oorlog, dan kan een aanval de samenleving verstoren. Door goede afspraken te maken met en voorzieningen te treffen voor organisaties die belangrijk zijn voor het functioneren van de Nederlandse samenleving, kunnen de gevolgen van zo’n cyberaanval beperkt worden. Denk bijvoorbeeld als landelijk de stroom voor langere tijd uitvalt of het internet niet meer functioneert en er geen betalingen gedaan kunnen worden, dat zou de samenleving kunnen ontwrichten.
Door deze organisaties wettelijk te verplichten hun zaken digitaal op orde te hebben en door hen te voorzien van hulptroepen die kunnen helpen de crisis te verkorten, maakt dit de organisaties en daarmee het land weerbaarder. Sinds januari 2023 is nu dus de opvolging van NIS actief onder de naam NIS2 en vanaf najaar 2024 zal deze regelgeving omgezet zijn in Nederlandse wetgeving. Ook is het aantal organisaties wat onder de regelgeving valt behoorlijk uitgebreid. Als een centrale afvalverwerker voor ziekenhuizen niet meer kan functioneren kan dit ook disruptief zijn.
NotPetya
Omdat het een wetgeving in wording is met veel regels die op veel plekken nog niet duidelijk zijn, is het moeilijk om diep in details te duiken. Dat is verder ook helemaal niet nodig en ik zal uitleggen waarom. Maar voordat ik dat doe wil ik een helder voorbeeld geven van een disruptieve crisis waarin NIS2 de weerbaarheid van een land wil verhogen: NotPetya.
In 2017 werd een softwarebedrijf gehackt dat een administratieve dienst leverde voor veel Oekraïense bedrijven. Bij de hack werd een software-update van het bedrijf besmet met een zogenaamde wiper. Het lijkt op ransomware maar is gemaakt om vooral een netwerk stuk te maken en deed dat met groot succes. De organisatie installeerde massaal de automatische update die ook meteen admin-rechten kreeg en een heel netwerk infiltreerde op schaal. Niet alleen veel bedrijven in Oekraïne werden getroffen, maar ook bedrijven als Maersk gingen voor langere tijd plat. Maersk vervoert weer containers over de wereld en als die logistiek stopt mondt dat uit in een ramp. Wat leren we van NotPetya? Dat als je een organisatie wilt beveiligen je ook moet kijken naar de keten van leveranciers en dit is bijvoorbeeld iets wat nadrukkelijk beschreven wordt in de NIS2. Impliciet geeft het aan dat je als leverancier van kritische organisaties, je dus ook valt onder NIS2-wetgeving.
Aantoonbare volwassenheid
Dus wat houdt NIS2 kort in en hoe vergroot het de weerbaarheid van de samenleving? Als je onder NIS2 valt, moet je een bepaald volwassenheidsniveau hebben in risicomanagement op het gebied van cybersecurity. Deze moet je ook aan kunnen tonen, net zoals je dat doet aan een externe auditor tijdens een NEN7510 of ISO27001 externe audit. Dit aantonen doe je aan een toezichthouder en de diverse sectoren krijgen mogelijk allen een eigen toezichthouder.
Er zijn een aantal maatregelen die je zeker geïmplementeerd moet hebben zoals tweestapsverificatie en het beheer van rechten van gebruikers om maar wat te noemen. Lekker concreet dus en hier kan een organisatie zich niet verschuilen achter een PDCA-cyclus waarbij je het voornemen hebt om te verbeteren en maatregelen te implementeren. Nee, de toezichthouder wil zien dat je dit gedaan hebt. Dit valt onder de zogenoemde zorgplicht. Je moet je zaken op orde hebben.
Meldplicht
Een tweede pijler van NIS2 is de meldplicht. Dit betekent dat je gerelateerde incidenten die mogelijk de werking van je organisatie in gevaar brengen, moet melden bij de toezichthouder zoals je een datalek met persoonsgegevens moet melden bij de Autoriteit Persoonsgegevens, de Nederlandse toezichthouder als het gaat om privacy. Net zoals je bijvoorbeeld aan de servicedesk moet melden dat je per ongeluk op een phishing link hebt geklikt, moet je een groter incident melden bij je toezichthouder.
Waarom? Omdat zij een groter overzicht kunnen hebben met betrekking tot een gecoördineerde aanval en nu wordt het leuk: de centrale overheid stelt namelijk ook hulptroepen beschikbaar in de vorm van een Computer Security Incident Response Team (CSIRT). Incident Response in deze context betekent dat er mensen komen helpen met het bezweren van een crisis. Experts die snel uitzoeken wat er is gebeurd en wat er gedaan moet worden om een crisis het hoofd te kunnen bieden en ervoor zorgen dat je weer terug kunt naar de normale situatie.
Continuïteitsplan
Iets wat ik in de vorige paragraaf niet vermeld heb is dat je als organisatie een continuïteitsplan moet hebben die je ook oefent. In zo’n plan staan een aantal cyberrampen beschreven waarin je ook een stappenplan hebt voor als een scenario ongunstig uitpakt. Als je bijvoorbeeld stelt dat een bedrijfsonderdeel er niet langer dan zeven dagen uit mag liggen, moet je ook beschrijven wat je na die zeven dagen gaat doen. In zo’n plan staat dus ook dat je een melding doet bij de toezichthouder, maar ook wie jouw CSIRT is en wie je contactpersonen daar zijn of wat het 24/7 noodnummer is.
CSIRT niet alleen weet hoe een crisis werkt, ze hebben daar ook veel ervaring en kunnen je helpen sneller weer door te gaan als dienstverlener. Dat is dus wat er bedoeld wordt met veerkracht: het vermogen te herstellen als er iets mis gaat. Daarnaast word je ook geacht samen met de CSIRT, toezichthouder en branchegenoten samen te werken en kennis te delen. Ik heb met eigen ogen al gezien dat dit tot fantastische samenwerkingen leidt! Ik was uitgenodigd door een dergelijke samenwerking om mijn kennis over het phishen van medewerkers te delen, en de daaropvolgende kennisuitwisseling inspireerde me enorm.
Eén nationaal adviesloket
De NIS2 is 73 pagina’s lang en begint met 144 overwegingen en bevat 27 artikelen in de vorm van algemene bepalingen en deze beginnen vanaf pagina 29. Naast de gevolgen voor organisaties bestaat het mijn inziens ook uit heel veel taken die de centrale overheid nog moet regelen en gelukkig zie je hierin al mooie stappen die gemaakt worden. Bijvoorbeeld dat het Digital Trust Center (DTC), het Nationaal Cyber Security Centrum (NCSC) en CSIRT vanaf 2026 samengevoegd zullen worden tot één nationaal adviesloket.
Waarom ben ik zo enthousiast over NIS2? Het zijn toch weer allemaal extra regels voor organisaties die geld kosten? Dat laatste klopt zeker, maar je krijgt er ook veel voor terug. Er zijn nu eenmaal grote dreigingen en de kosten van een geslaagde aanval zijn enorm. Iedere serieuze organisatie zou uit zichzelf al naar een hoger volwassenheidsniveau moeten als het aankomt op cybersecurity en er zitten ook veel minder zichtbare voordelen aan een organisatie die zijn cybersecurity op orde heeft. Je vergroot de zelfredzaamheid van medewerkers die zichzelf ook in hun privéleven beter weten te beschermen. Maar denk ook aan de CSIRT-hulptroepen en de samenwerking met branchegenoten om kennis te delen. Als je daadwerkelijk aangevallen wordt, zul je als organisatie beter kunnen reageren, dat geeft ook je organisatie als geheel zelfvertrouwen en de genoemde resilience. Het betekent ook persoonlijk dat als je op een bepaald niveau kunt functioneren je persoonlijke waarde stijgt en je bovendien Europees van toegevoegde waarde bent, de landen om je heen doorlopen hetzelfde proces. Soms is regulering zo gek nog niet.
Netto dus winst
Om het heel simpel en plat te maken. Als je als land niet meer zo kwetsbaar bent, dan zal het aantal incidenten ook afnemen. Je zet zogezegd je fiets beter op slot dan je buurman buiten Europa.
De conclusie is dat NIS2 extra inspanning geeft om cybersecurity nog beter op orde te krijgen, medewerkers bewust maken is daar een belangrijk onderdeel in, en je zult relevante incidenten niet meer onder de pet kunnen houden door het risico op een hoge boete van de toezichthouder. Maar je krijgt ook toegang tot diepgaande kennis en hulp bij het oplossen van een crisis, iets wat ook makkelijk in de miljoenen kan lopen. Het vallen onder NIS2 lijkt mij netto dus een winst ten opzichte van organisaties die het allemaal zelf moeten regelen. Dus laat die NIS2 nu maar komen!
Deze reactie plaats ik om op de hoogte gehouden te worden van reacties.
Stel ook gerust je vragen, dan zal ik proberen hier helder antwoord op te geven.
Ik vermoed opportuniteit bij de expert, meer regels is meer geld want zelfredzaamheid komt natuurlijk niet zonder training. Argumentum ad absurdum in een eerdere discussie over CEO fraude maakte duidelijk dat het compliance vinkje juridisch weinig waarde heeft. NIS2 gaat om het temmen van de zoveelste papieren tijger welke hongerig is doordat al die training geld kost. Bij KPMG hebben ze dan ook liever declarabele uren want dat er straks weer gefraudeerd gaat worden met een administratieve verplichting zal duidelijk zijn.
Ik ben het niet met “Oudlid” eens. Meer en meer (overheids) organisaties zijn onderdeel van ketens. Denk maar eens aan het Digitaal Stelsel Omgevingswet maar ook initiatieven als Common Ground en HaalCentraal waar meer en meer diensten afhankelijk zijn van allerlei (netwerk) verbindingen met andere overheden en derde partijen.
De wereld om ons heen verandert snel en niet iedereen is zich ervan bewust welke desastreuze effecten uitval van één van de schakels kan hebben op de hele keten. Nu werkt de overheid nog vaak met (achterhaalde) kopiëen van data waar men op kan terugvallen. Als dat straks niet meer gebeurt moeten we alle policies opnieuw onder de loep leggen en nieuwe regels maken waar nodig.
@Henri, helder verhaal. De meeste Nederlanders zullen overigens niet hoera roepen. Nederlanders zijn tegenwoordig beter in tegensputteren en mopperen. Maar zowel vanwege de feitelijke digitale dreigingen als de wettelijke verplichtingen, zullen vele organisaties aan de slag moeten met NIS2 om zich (gezamenlijk) voor te bereiden op eventuele disruptieve cyberaanvallen. Dit lijkt een beetje op het gezamenlijk tegengaan van natte voeten. Helaas zal NIS2 veelal als onnodig gezien worden, want schadevoorbeelden van digitale aanval zie je niet zo duidelijk als wassend water. Het hoeft overigens niet per se om digitale oorlog te gaan, ook al is dat mogelijk als onderdeel van een hybride oorlog. Bovendien is grootschalige cybercriminaliteit zelden slechts economisch gemotiveerd; er is vaak een geopolitieke component. Je komt er ook niet altijd achter of het gaat om een ideologische of economische achtergrond van een eventuele aanval. En dat is ook niet zo belangrijk als je (ketenpartner) wordt aangevallen en jij in de problemen komt.
Het gaat bij NIS2 om de beveiliging van gehele ketens. Daarbij geldt ieder zijn deel en de overheid zal iedereen proberen te helpen. Vergelijk het met een eventuele brand. Dan wil je ook niet dat deze overslaat en hoop je dat de brandweer je kan helpen. Echter bij een grootschalige digitale oorlog kan de overheid niet iedereen helpen. Dat is ook niet de focus van de landelijke overheid. De Bescherming Bevolking is lang gelegen afgeschaft, defensie is voor het grootste deel afgeschaft en schuilkelders zijn er tegenwoordig alleen voor bobo’s en preppers met voldoende eigen middelen. Dus begin met je eigen veiligheid op orde te brengen zoals de wet je dit verplicht. Zie het als een investering in het voorkomen van winstderving.
Gezien de ontwikkelingen is het logisch dat het toepassingsgebied van de wet Wet beveiliging netwerk- en informatiebeveiliging door onze regering uitgebreid kan worden naar regionale en lokale overheidsorganen (die onderdeel van vele ketens kunnen zijn), en naar onderzoeksinstellingen (vooral als zij kritieke onderzoeksactiviteiten verrichten). Nadenken bij die groep (als essentiële of belangrijke entiteit) over wat er mis kan gaan en hoe voor te bereiden, kan veel paniek voorkomen als een eventuele dreiging een beetje te snel te reëel wordt.
De vraag die overblijft, wie controleert de compliance op dit gebied? De overheid of de accountant? Het toezicht houden door de overheid gaat vaak mis en de Big Four accounting firma’s kan je al decennia niet meer vertrouwen; hun vinkje is nietszeggend. Dus wat gaat de overheid doen om NIS2 effectief in te zetten?
@Marcel: Precies, eens
@Jaap: Met het oog op Rusland en bijvoorbeeld China moeten we niet naïef zijn. Daar wordt gewoon gekeken hoe er “leverage” gerealiseerd kan worden. De nuance zal hooguit zijn dat Rusland meer gericht is het ontwrichten en stuk maken en China wat meer op info die de eigen positie en economie kan versterken.
Bij een grootschalige aanval of ontwrichting zal de capaciteit voor hulptroepen inderdaad beperkt zijn, maar ieder bedrijf wat geen slachtoffer zal worden op zo’n moment in in ieder geval geen onderdeel van het probleem.
Ik zit niet in de politiek, maar ook de politiek van een land en centraal in Europa doet aan risicomanagement. Hoe groot is de impact op een aanval, hoe groot is de kans, wat zijn de risico’s hoe kunnen we deze verkleinen? De conclusie is dus duidelijk: Als we organisaties zelf laten bepalen hoeveel maatregelen ze nemen of als hun risk-appetite te groot is, dan is dit een probleem en kan het restrisico niet geaccepteerd worden. Op al je applicaties voldoende logging zetten met life cycle management, een crisis uitwerken en ook nog eens oefenen, intrusion detection en response.. je moet echt wel even aan de bak. Niettemin, het risico is zeker niet nul, dus als organisatie moet je dit gewoon voor elkaar hebben en nu is dat niet meer optioneel geworden. Maar wat ik mooi vind is dat het ook leidt tot een grotere security cultuur net zoals GDPR geleid heeft tot een grotere privacy cultuur.
Wat ik niet begrijp is dat de gehele overheid in 1 cloud zit (Microsoft) die ook nog eens buiten Europa eigendom is en beheerd wordt. Dat kan echt niet. Op organisatieniveau snap ik het. Op landelijk en Europees niveau niet. Dus ben benieuwd of dit ook nog in de NIS2 komt…
Bedankt voor het delen van je reactie, iedere input leidt tot meer inzicht. Alleen kunnen we het niet.
Het aan elkaar rijgen van loketten maakt nog geen integraal gestuurde keten, een bestuurlijk problematiek los je niet op met NIS2 want dat is zoals ik stel een papieren tijger. In het weerleggen van een argumentum absurdum nogmaals de opportuniteit van belangenverenigingen met een commerciële insteek bevestigen mist de premisse van het argument. Zo heeft kwaliteit van data meer met informatiehuishouding te maken dan een beveiliging van de keten, oude WRR rapport over de transitie van e-overheid (loketgericht) naar i-overheid (datagedreven) uit 2011 geeft een leuk overzicht van het koppelvlakken-circus in de informatiestromen. Applicatiegericht versus datagedreven is common ground het drijfzand waarin Europese initiatieven vastlopen doordat er telkens eigen dialecten op internationale standaarden bedacht worden. Da’s goed voor centjes want deze standaarden zijn vervolgens ook nog eens exclusief waarbij drang en dwang voor de acceptatie zorgen.