Onlangs werd de opvolger van de NIS-richtlijn geïntroduceerd. NIS is een Europese richtlijn en heeft als doel om eenheid en samenhang te brengen in Europees beleid voor netwerk- en informatiebeveiliging. De nieuwe opvolger, NIS2, scherpt de cybersecurityvereisten aan voor Europese organisaties in kritieke sectoren van middelgrote tot grote omvang.
Het is zeer waarschijnlijk dat de meeste operationele technologie (ot) systemen ook onder NIS2 vallen. Deze systemen zijn immers te vinden in diverse sectoren en voeren taken uit, variërend van het bewaken van kritieke infrastructuur tot het besturen van robots op een productievloer. Organisaties kunnen bij het Nationaal Cyber Security Centrum (NCSC) controleren of ze onder de NIS2-richtlijn vallen.
Traag en vaag
Hoewel NIS2 een goed initiatief is, blijkt nu al dat de voorbereiding voor de consultatie over de Nederlandse implementatie van de Europese cybersecurityrichtlijn uitstel oploopt. Demissionair minister Dilan Yeşilgöz-Zegerius liet dit onlangs weten middels een brief aan de Tweede Kamer. Daarin meldt ze dat het omzetten van de richtlijnen in nationale wetgeving meer tijd vraagt dan in eerste instantie werd verwacht. Ze verwacht dat de conceptwetsvoorstellen naar verwachting voor de zomer van 2024 in consultatie worden gebracht. Gelet op de benodigde vervolgstappen in het wetgevingstraject concludeert de bewindsvrouw dat de implementatiedeadline van de Europese Commissie voor beide richtlijnen, te weten 17 oktober 2024, niet wordt gehaald.
De eerdere ervaringen met de implementatie van GDPR lieten zien dat ondernemers grote moeite hadden met het toepassen van maatregelen.
Dat de implementatie langer gaat duren, is zorgelijk. De eerdere ervaringen met de implementatie van GDPR lieten immers zien dat ondernemers grote moeite hadden met het toepassen van maatregelen. Het is daarom zaak dat er zo snel mogelijk duidelijkheid komt. Bovendien is de gehele richtlijn nog steeds vrij onduidelijk. Volgens NIS2 benadrukt de overheid het cruciale belang voor organisaties om ‘passende maatregelen’ te nemen om de beveiliging van hun netwerken en informatiesystemen te waarborgen en cyberdreigingen effectief aan te pakken. Echter, de definitie van ‘passende maatregelen’ blijft enigszins vaag, ondanks de lijst van maatregelen in Artikel 21 van de NIS2-richtlijn.
Wel biedt het Digital Trust Center (DTC) een driestappenplan waar organisaties rekening mee kunnen houden ter voorbereiding. Allereerste stap is om te bepalen wat je wilt beschermen. Maak daarom een risicoanalyse van de digitale dreigingen die de dienstverlening van jouw organisatie kunnen verstoren. Dit houdt in dat je duidelijk definieert welke aspecten van je organisatie, netwerken of informatiesystemen je wilt beveiligen. Vervolgens is het nodig om de risico’s te identificeren en scenario’s te creëren. Hierbij gaat het om het herkennen van mogelijke bedreigingen, zoals ransomware of een datalek, en het opstellen van bijbehorende scenario’s.
Maatwerk
Na het ontwikkelen van de risicoanalyse adviseert het DTC om waar mogelijk maatregelen te nemen die jouw organisatie (beter) beschermen tegen deze risico’s. Het antwoord op de vraag welke maatregelen je als organisatie moet nemen, is uiteraard maatwerk en afhankelijk van jouw eigen analyse en beoordeling van de risico’s. Ten slotte geeft het DTC aan dat organisaties ervoor moeten waken dat er procedures zijn om incidenten te detecteren, te monitoren, op te lossen en te melden aan de rijksoverheid.
Hoewel het driestappenplan goed weergeeft wat organisaties kunnen doen om risico´s te voorkomen, bieden de stappen niet genoeg houvast om aan de nieuwe NIS2 te voldoen. Bovendien hebben organisaties vaak niet de kennis om de stappen uit te voeren. Voor deze organisaties kan het praktischer zijn om de stappen uit te besteden. Op deze manier hebben ze zeker een solide securitybeleid en weten ze waar de zwakheden zich bevinden in het netwerk. Neem in het securitybeleid ook een incident response-plan op. Naast het identificeren van de risico’s, moeten medewerkers op de hoogte worden gesteld van de risico’s en de digitale belangen van het bedrijf. Door medewerkers voor te lichten en bewust te maken over de risico’s en welke handelingen ze moeten uitvoeren, zijn aanvallen te voorkomen.
Opvallend is dat het stappenplan weinig advies geeft over welke technologische keuzes organisaties kunnen maken. Het kiezen van nieuwe technologie is vaak een ingewikkeld proces, gezien er zoveel securityoplossingen en -aanbieders zijn, waardoor organisaties door de bomen het bos niet meer zien. Wanneer organisaties op zoek zijn naar een oplossing om hun ot te beschermen, is het cruciaal om te kiezen voor een technologie met een ‘agentloze architectuur’. Deze aanpak elimineert de noodzaak van het installeren van afzonderlijke software op operationele technologieassets.
Het kiezen van nieuwe technologie is een ingewikkeld proces, gezien er zoveel securityoplossingen en -aanbieders zijn, waardoor organisaties door de bomen het bos
Bovendien biedt een agentloze benadering de mogelijkheid om aanpassingen veilig te testen in een afzonderlijke omgeving, voordat ze daadwerkelijk worden geïmplementeerd. Tevens automatiseert een agentloze oplossing het proces van cyberbeveiliging voor it-apparatuur in operationele omgevingen, wat resulteert in aanzienlijke besparingen op onderhoudstijd. Een geautomatiseerde cyberbeveiliging zorgt er ook voor dat gebruikers real-time en voortdurend gedetailleerde informatie over de aanwezige assets in de it-infrastructuur krijgen. Op deze manier kan er sneller en efficiënter worden gereageerd op dreigingen en is de kans op menselijke fouten kleiner.
Daarnaast kunnen dankzij automatisering alle wijzigingen, zoals configuraties, updates en revisies, automatisch gecontroleerd en vergeleken worden met de databases om bekende kwetsbaarheden in real-time te detecteren. Verder is het implementeren van beschermings- en verhardingsmaatregelen van cruciaal belang. Hardenen houdt in dat het computersysteem zodanig wordt dichtgetimmerd en beschermd dat het alleen de primaire functie waarvoor het bedoeld is kan uitvoeren. Op deze manier zijn assets beveiligd tegen ontbrekende patches, verkeerd geconfigureerde services en andere beveiligingsproblemen.
Effectie en snel
Kortom, de overheid moet zich inzetten dat NIS2 in de praktijk effectief en snel is toe te passen. Dit is te realiseren door meer duidelijkheid, een nauwkeurige aanpak en gerichte (praktische) ondersteuning. De eerdere ervaringen met de implementatie van GDPR laten zien dat ondernemers moeite hebben met het toepassen van maatregelen, wat risico’s met zich meebrengt. Aan de andere kant zullen ook organisaties hun verantwoordelijkheid moeten nemen en cybersecuritymaatregelen implementeren vanuit intrinsieke motivatie. Op deze manier kunnen we NIS2 tot een succes maken, cyberrisico’s voorkomen en de digitale maatschappij veiliger maken.
Bert Willemsen is executive vice president bij Axite Security Tools
