Iedereen die werkzaam is binnen het vakgebied van Cyber Security heeft het er over: de Europese Network and Information Security directive 2 (NIS2-richtlijn) komt er aan. Maar wat verandert er voor organisaties met de komst van de NIS2? Valt het eigenlijk wel mee en is het ‘oud wijn in nieuwe zakken’ of verandert er toch wel het een en ander?
Liesbeth Holterman - Strategisch adviseur Cyberveilig Nederland
Belang van de NIS2 voor een veilig(er) Europa
De update van de NIS2-richtlijn was hard nodig. De (digitale) risico’s nemen toe omdat cybercriminelen zich steeds beter organiseren en gebruik maken van steeds geavanceerdere tooling. Tegelijkertijd zijn veel sectoren aan het digitaliseren, waarbij ze gebruik maken van robotica, Internet of Things, Artificial InteIligence (AI) én dataverzameling en -uitwisseling. Kortom: het aanvalsoppervlak is vele malen groter geworden waardoor de kans dat kritische applicaties door aanvallen niet beschikbaar zijn, ook steeds meer toenemen. Dit kan gevolgen hebben voor individuele organisaties, maar heeft ook steeds vaker impact op een hele keten. De Europese Commissie zag dit risico ook en kwam daarom met NIS2. Eind 2024 moet die zijn omgezet in lokale, lees: Nederlandse, wetgeving en komt de huidige wet bescherming netwerk infrastructuur (wbni) te vervallen.
Omzetting richtlijn naar Nederlandse wetgeving
En over die NIS2-richtlijn is veel te doen. Niet alleen omdat het aantal branches dat onder deze wet gaat vallen enorm wordt uitgebreid (denk aan de overheid, maakindustrie, zorg en logistiek), maar ook is de NIS2 veel minder vrijblijvend dan de originele NIS-richtlijn. Veel organisaties en branches spreken zich dan ook hardop uit over de zorgen die zij zich maken, omdat zij vinden dat de tijd die zij krijgen, om aan de wet te kunnen voldoen, te kort is. Is dat terecht? Deels. Momenteel is nog niet bekend hoe de Nederlandse overheid, onder leiding van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), de NIS2 gaat omzetten in Nederlandse wetgeving. Rond november 2023 wordt de internetconsultatie verwacht. Zolang dat nog niet bekend is, blijft dus onduidelijk hoe bijvoorbeeld het toezicht en de boetebevoegdheid ingeregeld gaat worden.
Maatregelen in de NIS2: aan de slag!
Daar is tegenin te brengen dat je nu al echt aan de slag kunt met de NIS2. Ondanks dat nog niet alles bekend is qua Nederlandse wetgeving. Zo is de tekst van de NIS2 al eind 2022 gepubliceerd. De Nederlandse wettekst zal hier niet veel van afwijken. Artikel 21 van NIS2 vormt daarbij een handige checklist. Als je kijkt naar de gevraagde maatregelen in dit artikel dan zou je, als jezelf serieus nemende cyber professional, veel moeten herkennen. Het uitvoeren van risico-analyses, het verzorgen van bedrijfscontinuïteit door goed back-upbeheer en het maken van crisisplannen. Het staat allemaal in artikel 21 beschreven. Kortom, maatregelen die passen bij een organisatie die de risico’s van een cyberincident serieus neemt en daar actie op onderneemt. Daarnaast zijn veel van de in de NIS2-richtlijn genoemde maatregelen herkenbaar uit verschillende frameworks en standaarden. Als je bijvoorbeeld over een ISO 27001-certificering beschikt dan zul je al veel maatregelen uit de NIS2 hebben geïmplementeerd.
Klaar voor de NIS2?
Dus waarom dan toch die onrust? Mijn analyse is dat veel organisaties toch nog niet volwassen genoeg zijn op het gebied van Cyber Security en dus nog niet klaar zijn voor de NIS2. De focus bij veel organisaties heeft zich tot nu toe met name gericht op het nemen van preventieve maatregelen. Hiermee heb je al een stuk afgedekt van de gevraagde maatregelen in de NIS2, maar daarmee ben je er niet. Want ook het monitoren van je netwerkverkeer is straks belangrijk om NIS2-proof te zijn. Immers je moet straks binnen 24 uur een (bijna) incident melden bij je Computer Security Incident Response Team (CSIRT) voor bijstand en aangewezen toezichthouder (voor controle). Dat kan alleen als je goed zicht hebt op wat er allemaal gebeurt in je netwerk. Het is immers essentieel dat je voorbereid bent op een incident- of crisis. Te veel organisaties worden nu letterlijk overvallen door een ransomware-aanval.
Aan de slag!
Kortom de NIS2 dwingt je om maatregelen te nemen die een cybercrisis of -incident voorkomt, herkent en of je hierop voorbereid, mocht het je toch overkomen. Maar hoe dan te beginnen? Gelukkig is er veel relevante informatie beschikbaar op de website van het Nationaal Cyber Security Centrum (NCSC), bereikbaar via de link onderin dit artikel. Begin met een goede risicoafweging. Welke assets zijn er in jouw organisatie? Hoe is jouw netwerk ingericht? Waarop kan jij aangevallen worden? Welke processen en organisatorische maatregelen zijn er? Heb je een draaiboek klaarliggen hoe te reageren op incidenten? Heb je goede afspraken gemaakt met de IT-verantwoordelijke en Cyber Security dienstverlener over wie verantwoordelijk is voor specifieke Cyber Security maatregelen?
Kortom: de NIS2 is zeker geen oude wijn in nieuwe zakken. Het vraagt veel van organisaties om hieraan te kunnen voldoen. De andere kant is dat in de NIS2 maatregelen genoemd worden die passen bij een volwassen Cyber Security organisatie. Het kunnen voldoen aan de NIS2 brengt je dus veel: niet alleen dat je aan een wet voldoet, maar vooral dat je bijdraagt aan een digitaal weerbare samenleving.
Dit artikel is eerder verschenen in het Claranet Security Magazine Najaar 2023