BLOG – Met NIS2 ondergaat het cybersecuritylandschap aanzienlijke veranderingen. De nieuwe richtlijn heeft als voornaamste doel de digitale weerbaarheid van organisaties te versterken. Het beïnvloedt niet alleen de interne veiligheid van jouw organisatie, maar ook die van alle samenwerkingspartners binnen de keten. Deze specifieke maatregelen vloeit voort uit het besef dat de digitale weerbaarheid van een organisatie zo sterk is als de zwakste schakel. Want met de toename van alle digitale ketens is het mogelijk dat de zwakste schakel zich buiten de firewall van je eigen organisatie bevindt. En als er één dominosteen valt…
Het is begrijpelijk dat NIS2 aanzienlijke aandacht besteedt aan de identificatie van kwetsbaarheden binnen de keten. Een werpt licht op dit belang, waarbij een datalek plaatsvond in de software van onderzoeksbureau Blauw. Dit bureau voert marktonderzoek uit voor vooraanstaande bedrijven zoals NS, Vodafone, Ziggo en CZ. Het datalek had aanzienlijke gevolgen voor miljoenen Nederlanders doordat klantgegevens openbaar werden. De inbreuk betrof minimaal drie verschillende lagen binnen de keten.
Dit soort datalekken komen steeds vaker voor, en worden steeds gevaarlijker juist omdat digitale ketens steeds groter worden. Toch blijkt uit dat veel bedrijven nog onvoldoende aandacht besteden aan deze ketenaansprakelijkheid. Slechts vijf procent van de bedrijven in essentiële sectoren (zoals energie, vervoer, bankwezen en digitale diensten) is volledig op de hoogte van het securitybeleid van hun (keten)partners. Bijna de helft geeft aan ‘een beetje’ op de hoogte te zijn, terwijl maar liefst zestien procent totaal niet op de hoogte is.
Uit ditzelfde onderzoek blijkt dat niet alle organisaties in essentiële sectoren überhaupt van plan zijn om de securityrisico’s van ketenpartners inzichtelijk te maken. Zestien procent geeft aan dat ze niet van plan zijn om inzicht te krijgen in de securityrisico’s van ketenpartners, en een krappe dertig procent weet nog niet of ze daar moeite voor gaan doen. Slechts 55 procent realiseert zich dat NIS2 dit van hen vereist en onderneemt actie op dit gebied.
- De gevolgen van het niet in kaart brengen van risico’s
Als het gaat om het vergroten van het bewustzijn, dat onder NIS2 de ketenaansprakelijkheid aanzienlijk wordt uitgebreid, blijkt er dus nog veel werk te verrichten. Waar bedrijven bij de AVG soms volstonden met het zetten van een groen vinkje bij de controle van de verwerkersovereenkomst, is dat nu bij NIS2 niet langer toereikend. In de toekomst is het noodzakelijk om actief beleid te voeren om ketenrisico’s te minimaliseren. Het is raadzaam om als organisatie al in een vroeg stadium, bijvoorbeeld tijdens een aanbesteding van een product of dienst, rekening te houden met het type dienstverlening (en daarmee het bijbehorende risico) en de securityprestaties van een ketenpartner. Op deze manier zorg je ervoor dat de beveiliging van de keten vanaf het begin op orde is. Dit proactieve beleid is essentieel om de risico’s in de digitale keten effectief te minimaliseren en de algehele cyberweerbaarheid te versterken. Zorg er ook voor dat je periodiek de kwaliteit van de dienstverlening blijft monitoren zodat de risico’s en maatregelen goed opgevolgd blijven worden totdat een samenwerking is afgerond en de ketenaansprakelijkheid eindigt met retransitie.
- Ketenaansprakelijkheid is een gedeelde verantwoordelijkheid
Ketenaansprakelijkheid onder NIS2 belicht een gedeelde verantwoordelijkheid binnen digitale ketens. Het is niet langer voldoende voor organisaties om zich uitsluitend te richten op hun interne processen; ze moeten ook actief de beveiligingsmaatregelen van hun ketenpartners monitoren. Een zwakke schakel in de keten kan de algehele operationele continuïteit in gevaar brengen en het zogenoemde domino-effect in gang zetten. Om dit te voorkomen zijn er ook meerdere initiatieven, zoals het platform ‘Samen Digitaal Veilig’ vanuit MKB-Nederland, dat zich inzet voor de implementatie van een NIS2-keurmerk voor ketenpartners.
Het is cruciaal om inzicht te hebben in de afhankelijkheden en verantwoordelijkheden in de keten. Dit begint met het nemen van een aantal stappen, waaronder:
- Het classificeren van leveranciers op basis van het type dienstverlening die zij leveren;
- Het opstellen van inkoopvereisten (waarbij leveranciers met bijvoorbeeld een ISO27001-certificaat voorrang krijgen);
- Het opstellen van selectievereisten in de contracten op basis van eigen beleid en wet- en regelgeving (bijvoorbeeld verwerkersovereenkomsten, recht op audit, geheimhouding, exit strategie, naleving sla, etc.);
- Het periodiek beoordelen van prestaties van betreffende leverancier.
Gezamenlijke inspanning
Het handhaven van de veiligheid van jouw bedrijf, data en die van anderen is een proces waarbij elke schakel in de keten bijdraagt aan de cyberweerbaarheid. In die zin is het uitwisselen van informatie over dreigingen en aanvalspogingen met ketenpartners belangrijk. Het is beter om openheid van zaken te geven dan te doen alsof er niets gebeurd is. Cybersecurity is geen thema dat overwaait, het vereist een gezamenlijke inspanning, om te beginnen met je ketenpartners.
Jeroen Hentschke is proposition lead security bij Telindus
Ik ken ook nog een verhaaltje over te goed van vertrouwen omdat papieren tijgers makkelijker te temmen zijn dan de realiteit. En las net dat ze bij Microsoft nog altijd meer geld aan marketing besteden dan aan beveiliging waardoor de zwakste schakel in de keten van vertrouwen niet de mens is maar de manager. Weg van de minste weerstand in het managen van de risico’s is deze doorschuiven, schuif de verantwoordelijkheid door met juridische clausules. Vooral onze overheid is daar goed in, periodieke beoordeling van de slager die zijn eigen vlees keurt gaat om
hetzelfde circus als bij Microsoft want zolang het de krant niet haalt gebeurt er dus niks.
Waar breed over heen gekeken wordt, is wat NIS2 daadwerkelijk gaat doen in de keten; de keten van Enterprise, grote bedrijven, MKB, kleinbedrijven, zelfstandigen. Ongeacht aantal medewerkers en hoogte van de omzet (beter wellicht om naar de winst te kijken…).
De Plofkraken vinden plaats in Dld en niet in Nederland. Waarom is dat?
De fysieke inbrekersgilde pakken de gebouwen die slechter of niet beveiligd zijn (of het risico moet het waard zijn). Waarom is dat?
Door de invoering van NIS2, zal de digitale boevengilde haar aandacht gaan verleggen. Waarheen? De volgende laag / lagen in die keten.
De 10-in-NIS2-genoemde maatregelen gelden niet alleen voor in NIS2 gedefinieerde sectoren en “doelgroepen”. Die 10 maatregelen gelden voor alle ondernemingen; NIS3, NIS4… waar blijven ze!? Als het bewustzijn van de ondernemers niet leidt tot actie, dan maar wetgeving.
Want, zwart/wit gezegd (om uiteindelijk in de nuance uit te komen), 24 oktober gaat NIS2 in, 25 oktober liggen alle bedrijven plat die niet onder NIS2 vallen en niet aan hun IT / Cybersecurity hebben gewerkt. Denk dan ook even over “waaraan ligt dat” en of en hoe dat voorkomen had kunnen worden.