Eind april organiseerde ACA IT-Solutions (onderdeel van accountants & adviesorganisatie Crowe Foederer) een webinar over de nieuwe cybersecurity-wet NIS2.0. Het primaire doel: een significante verbetering van de weerbaarheid van organisaties die behoren tot de ‘kritieke infrastructuur’ en beschikbaarheid van essentiële diensten. Deze wet gaat voor achttien sectoren gelden, maar kent ook een serieuze uitwerking op andere organisaties in de keten, constateerde Cybersecurity Architect Michael Waterman. “Tot 18 oktober 2024 heb je de tijd om deze wetgeving te verankeren in uw organisatie. Dat lijkt ver weg, maar vraagt nu al een proactief inspelen op deze richtlijn.”
Sinds 2020 is er vanuit de Europese Unie gewerkt aan de Network and Information Security (NIS) directive. Deze richtlijn is gericht op een verbetering van de digitale en economische weerbaarheid van Europese lidstaten. Waterman: “De richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. De NIS1 was alleen toegeschreven op essentiële dienstverleningen zoals een energievoorziening of een waterschap. Kortom, organisaties waarbij het een grote maatschappelijke impact zou hebben als ze gehackt zouden worden.” De NIS2 is de opvolger van de eerste NIS-richtlijn. “De scope is aanzienlijk uitgebreid. De richtlijn moet dan ook veel breder onze samenleving beschermen en weerbaarder maken. Waar wetgeving over het algemeen gesproken nog wel eens hoog over wil zijn, is deze wet op punten zeer specifiek. Uiteindelijk is het de bedoeling om aan de hand van deze wet de cyberveiligheid in Europa op een hoger niveau te krijgen.”
Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in één van de sectoren. De sectoren zijn onderverdeeld in twee categorieën: essentiële en belangrijke diensten. Onder essentiële diensten vallen organisaties die van vitaal belang zijn voor de maatschappij en waarvan een onderbreking ernstige gevolgen kan hebben voor de veiligheid, de economie, de volksgezondheid of het milieu. Belangrijke entiteiten zijn van belang voor de economie en de samenleving, maar waarvan een onderbreking niet direct leidt tot ernstige gevolgen voor de veiligheid, de economie, de volksgezondheid of het milieu.
Tevens wordt er nog onderscheid gemaakt tussen grote en middelgrote organisaties. Grote organisaties hebben meer dan 250 werknemers, een netto omzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro. Middelgrote organisaties hebben minimaal 50 werknemers en een jaaromzet of balanstotaal van meer dan 10 miljoen euro. Toewijzing aan een van de 18 gedefinieerde sectoren zal plaatsvinden op basis van de wetgeving.
“We hebben tot 18 oktober 2024 om deze wetgeving te verankeren in de organisatie”, legt Waterman uit. “Anderhalf jaar klinkt lang, maar het is ook veel werk om aan deze richtlijn te voldoen. Verkijk je daar niet op.” ZZP’ers en micro-ondernemingen zijn vrijgesteld van de richtlijn. “Je zou kunnen denken dat, als je niet tot één van de achttien sectoren behoort, je niets hoeft te doen. Maar mocht je bijvoorbeeld een klant hebben uit één van deze sectoren waar je een dienst of product aan levert, dan gaat deze naar alle waarschijnlijkheid eisen stellen aan jouw organisatie en dienstverlening.”
“Daarmee is de reikwijdte van deze richtlijn groter dan je in eerste instantie zou denken”, zegt Waterman. “De organisaties die vallen onder de NIS2 moeten hun keten beoordelen op cybersecurity. Zijn hun leveranciers veilig genoeg om te kunnen blijven leveren? ASML bijvoorbeeld valt sowieso al onder de essentiële bedrijven. Die chipmachinefabrikant is voor zijn toeleveranciers een campagne begonnen om hun veiligheid op een hoger niveau te krijgen.”
Hoe kunnen organisaties voldoen aan de NIS2-richtlijn? Waterman gaf al aan dat de wet op punten zeer specifiek is. Dat is bijvoorbeeld het geval bij artikel 21, bladzijde 127. “Daar staat heel concreet wat je moet doen. Allereerst gaat dat over een risico-inventarisatie van je primaire bedrijfsprocessen. Over welke netwerken en infrastructuren lopen deze en welk risico loop je daarbij? Daarnaast: welke technische en organisatorische maatregelen heb je genomen om de veiligheid te bewaken? Ook belangrijk zijn procedures voor het reageren op cybersecurity-incidenten, wat je hebt geregeld aan gegevensbeveiliging, het beveiligen van kritieke infrastructuren, het aanstellen van verantwoordelijken, de governance, het testen van maatregelen en procedures en het rapporteren aan de bevoegde autoriteiten.”
Wie NIS2 naleeft, werkt eigenlijk op een structurele manier aan zijn cybersecurity, vertelt Waterman. “Net zoals je dat bij ISO-27001 ook zou doen.” Nu is in Duitsland het voldoen aan ISO-27001 gelijkgesteld aan het voldoen aan de richtlijn. “Die route heeft Nederland niet of nog niet gekozen. Nederland heeft de BIO-normering als uitgangspunt genomen en staat voor Baseline Informatiebeveiliging Overheid. BIO gaat verder dan ISO-27001.” Het is de verwachting van Waterman dat er ook een accreditatie voor de NIS2 komt. Wie structureel werkt aan zijn cybersecurity, moet dit doen met in het achterhoofd dat een cyberaanval altijd op de loer ligt. “We komen allemaal een keer aan de beurt. Je kunt je dus maar beter hebben voorbereid. De richtlijn verplicht je een incident response plan te hebben. Als je dat eenmaal hebt, moet je dat ook testen. Vergelijk het met elk jaar een oefening die je houdt voor de brandbeveiliging.”
Organisaties die moeten voldoen aan de NIS2 hebben een meldplicht. Waterman: “Als men een incident ontdekt, moet dit binnen 24 uur worden gemeld aan een benoemde sectorleider en de overheid. De melding houdt in dat je aangeeft wat je hebt ontdekt. 72 uur daarna moet je aangeven wat de impact op de organisatie is en vervolgens moet je tussentijds op verzoek van de overheid updates geven.” Na dertig dagen moet de organisatie details over het type bedreiging en de genomen tegenmaatregelen bekendmaken. Waterman: “Dit moet ook iets van de cyberschaamte wegnemen. Je wilt in zo’n situatie dat organisaties informatie delen, waarmee ze dus ook andere organisaties helpen. Samen staan we sterker.”
Het toezicht op de naleving van de NIS2-richtlijn komt (hoogstwaarschijnlijk) in handen van de Rijksinspectie Digitale Infrastructuur, het Nationaal Cyber Security Centrum (NCSC) en sectorspecifieke autoriteiten. Waterman: “Zij voeren inspecties uit, ontwikkelen best practices en richtlijnen, wisselen informatie uit en werken samen met andere autoriteiten.” Organisaties die niet voldoen aan de NIS2-richtlijn, kunnen hoge boetes tegemoetzien. Bij een essentiële organisatie kan de boete oplopen tot 2 procent van de omzet of 10 miljoen euro. Bij een belangrijke organisatie is dat 1,4 procent van de omzet of 7 miljoen euro. “Je wordt wellicht niet bij de eerste de beste gelegenheid beboet, maar wel als je er structureel een potje van maakt”, stelt Waterman. “Daarnaast kan de verplichting tot openbaarmaking leiden tot reputatieschade. Als je niet aan de vereisten voldoet, kunnen de autoriteiten je bedrijfsactiviteiten stilleggen. En je wordt aansprakelijk gesteld voor eventuele schade als gevolg van inbreuken. Als laatste kun je als directie/eindverantwoordelijke zelfs uit de bestuurlijke functie worden ontheven.”
“Als cybersecurity nu nog niet op de bestuurstafel ligt, moet deze er snel opkomen”, zegt Waterman. “Let daarbij op: cybersecurity is een specialisme en niet iets voor een ICT-dienstverlener die alleen cloud, netwerken of infrastructuur levert. Dat zijn echt andere takken van sport. Het is belangrijk dat je een beeld hebt van de stappen die je moet zetten als gevolg van deze NIS2-richtlijn. Een cybersecurity assessment kan een hoop duidelijk maken over de weg die je moet volgen naar een volwassen cybersecurity. Zie het als een nulmeting. Het grote voordeel is dat je na implementatie een verbeterde waarborg hebt voor de bedrijfscontinuïteit. Daarbij is het goed om al je kwetsbaarheden, technisch en organisatorisch, in kaart te brengen. Train ook medewerkers in waar ze op moeten letten bij phishing e-mails of CEO-fraude. Maar neem ook technische maatregelen. Met SIEM-software bijvoorbeeld. Hiermee kun je afwijkingen binnen je infrastructuur snel constateren. Ik raad ook aan om samen te werken met een cybersecurity-expert om te helpen bij het ontwikkelen van een cyber response plan.”
Tot slot somt Waterman de key take aways op. “Ga na of jouw organisatie direct onder NIS2 valt. Is dat niet zo, ga dan na of je indirect door deze richtlijn wordt beïnvloed. Is dat zo, pak dan allereerst de stappen op uit artikel 21 die je relatief gemakkelijk kunt doorvoeren. Kortom, ga pro-actief met deze NIS2-richtlijn om.” Doet dat primair voor de bescherming en continuïteit van je organisatie en zie de wet als een stok achter de deur.