Eind december 2022 is de ‘Network and Information Security directive’(NIS-2) gepubliceerd. Alle lidstaten van de Europese Unie hebben tot oktober 2024 de tijd om die richtlijn te implementeren in nationale wetgeving. Ten opzichte van eerdere wetgeving wordt er in de NIS-2 een fors aantal ‘verplichte ’sectoren toegevoegd. Wat moet je weten en vooral doen om aan de NIS-2 richtlijn te voldoen?
De NIS-2 is een Europese richtlijn, een kader waarbinnen de overheid een nieuwe cybersecurity-wet dient te maken. In tegenstelling tot de huidige Wbni (wet beveiliging netwerk- en informatiesystemen), afgeleid uit de NIS-1 richtlijn, is de NIS-2 verplicht voor bijvoorbeeld ziekenhuizen, hetgeen in mijn ogen een noodzakelijke toevoeging is voor de bescherming van de volksgezondheid. Door de overheid wordt uiteindelijk bepaald welke sectoren en subsectoren nog meer worden toegevoegd aan door de EU opgestelde lijst.
Binnen de verplichte sectoren wordt onderscheid gemaakt tussen essentiële en belangrijke entiteiten. Essentiële entiteiten (grote organisaties) vallen onder een intensiever regime van verplichtingen en controle en zijn organisaties met meer dan 250 werknemers en/ of een jaaromzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen. Belangrijke entiteiten zijn middelgrote organisaties met minimaal 50 werknemers en/ of een jaaromzet van meer dan €10.000.000,-
De verplichte sectoren uit de NIS-2, zijn:
1. Essentiele entiteiten:Door middel van een ‘last resort’ regeling (overweging 133 NIS-2) krijgen autoriteiten de bevoegdheid om essentiële entiteiten tijdelijk plat te leggen. Er wordt commitment op hoog niveau afgedwongen, door aansprakelijkheid voor bestuurders (artikel 20 lid 1 NIS-2) en een boetebevoegdheid tot €10 miljoen of 2% van de wereldwijze omzet. Kortom, voldoende reden om tijdig te beginnen.
In hoofdlijnen zijn er twee verplichtingen waaraan organisaties moeten voldoen. Entiteiten hebben een zorgplicht en hebben daarmee de plicht om een risicobeoordeling te doen en op basis daarvan passende maatregelen te nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen. Een meldplicht zorgt ervoor dat incidenten binnen 24 uur gemeld moeten worden aan de toezichthouder. Ik licht ze hieronder toe.
1. ZorgplichtEen belangrijke toevoeging aan de zorgplicht is de eis van een CMDB (Configuratie Management Database). Dit is een database met informatie over hardware- en software-items de samenhang daartussen en een weergave van de daarop toegepaste securitymaatregelen, zoals automatisch patchen en incident responsebeleid.
Een aandachtspunt daarbij is shadow IT, oftewel alle IT-middelen die binnen een bedrijf door de medewerkers gebruikt worden, maar buiten het beheer van de IT-afdeling vallen. Met andere woorden: alle applicaties, cloud services en hardware die niet goedgekeurd werden door het IT-departement. Volgens Gartner is gemiddeld 35 procent van alle IT, shadow IT. Een andere belangrijke maatregel is het opzetten van detectieprocessen. Afwijkende gebeurtenissen merk je daarmee tijdig op door bijvoorbeeld een SOC (Security Operations Center) in te zetten en een incident response plan op te stellen (hoe ga je om met een calamiteit).
2. Meldplicht‘Significante incidenten’ moeten gemeld worden bij CSIRT (Computer Security Incident Response Teams) of bevoegde autoriteit (toezichthouder). Er is geen meldplicht voor cyber-dreigingen. Er dient gemeld te worden volgens een zogenaamde ‘getrapte melding’: een “early warning” binnen 24 uur, een uitgebreidere melding binnen 72 uur en een eindverslag binnen een maand.
De NIS-2 gaat uit van een ‘all hazard approach’ (art. 21.2 NIS-2), oftewel een groot opgezette en geïntegreerde aanpak. Voor de bescherming van jouw netwerk- en informatiesystemen moet je nadenken over de totale omvang van factoren die van belang zijn voor de continuïteit van jouw dienstverlening, dus ook fysieke beveiliging. De enorme omvang van een ‘all hazard approach’ kan verlammend werken, omdat er veel technische en organisatorische maatregelen zijn te bedenken. Gelukkig volgt er binnen 21 maanden na inwerkingtreding van NIS-2 nadere EU-regelgeving met betrekking tot de vereiste technische maatregelen (TOM) voor onder andere DNS serviceproviders, MSP/ MSSP en cloud computing services. Voor alle sectoren zal het interessant zijn om deze lijst te bestuderen.
Ben je op zoek naar een checklist voor technische en organisatorische maatregelen, neem dan eens kennis van de ‘Algemene Beveiligingseisen voor Defensieopdrachten 2019 (ABDO)’. Om een beeld te krijgen van de eisen die uiteindelijk in de nieuwe cybersecurity-wet worden gevraagd kan je de (oude) cybersecurity wet, de Wbni, erop naslaan. Deze zal aangevuld worden met nieuwe eisen voor NIS-2. Hieruit volgen onder andere de volgende eisen:
De Rijksinspectie Digitale Infrastructuur (RDI) heeft deze week ook de zelf-evaluatie NIS2 gelanceerd. Deze tool geeft ook meer duidelijkheid.
Ik verwacht met name dat het optuigen van een Configuration Management Database veel tijd gaat kosten en dit vergt ook veel informatie van externe bronnen. De NIS-2 daagt je uit om de huidige maatregelen onder de loep te nemen en de volledige breedte van de IT-omgeving inzichtelijk te maken. Een grove inschatting is dat dit proces tenminste zes maanden implementatietijd in beslag neemt. Parallel aan dit proces kun je al aan de slag met de technische maatregelen, zoals zijn opgesomd in de (huidige) Wbni en het opstellen van een Incidident response plan.
Gelukkig zijn er veel middelen beschikbaar om de implementatie van de NIS-2 te vereenvoudigen. Wij helpen je graag om deze transitie zo vlekkeloos mogelijk te laten verlopen.
Deel artikel