NIS2 is overal in 2024. Het staat ongetwijfeld op de radar van alle bedrijven die enigszins met wet- en regelgeving bezig zijn. Deze bedrijven zitten echter met een dilemma. De wetgeving is er immers nog niet. Toch kun je ook nu al veel doen. Afwachten tot 17 oktober 2024 is in ieder geval geen goed idee.
We spreken over de uitdagingen van NIS2 voor organisaties met Jan Heijdra. Hij is Field CTO Security bij Cisco Nederland en krijgt naar eigen zeggen veel vragen over dit onderwerp. Dat is op zich positief, want dat betekent dat het in ieder geval speelt bij bedrijven. Er wordt veel steun gezocht bij vendoren, volgens hem. Dit omdat er simpelweg nog veel onduidelijkheid is. “Er is een directive, maar wat betekent dat voor ons?”, is de vraag die hij vaak krijgt. Het gaat dan over hoe dit te vertalen naar compliance, maar vooral ook hoe het mogelijk is om aan de NIS2-richtlijn te voldoen zonder een eigen Security Operations Center (SOC).
NIS2 is niets nieuws
Op het eerste gezicht kan NIS2 behoorlijk ‘eng’ zijn voor organisaties. Het is niet alleen een voortzetting van de vorige richtlijn (en de bijbehorende wet), maar ook een stevige uitbreiding ervan. Dat wil zeggen, meer organisaties krijgen ermee te maken. De impact wordt dermate groot dat het zelfs niet ondenkbaar is dat vrijwel alle organisaties er direct of indirect mee te maken krijgen. Niet-plichtige partijen en plichtige partijen hebben immers ook geregeld met elkaar te maken.
Heijdra kijkt echter vrij nuchter tegen de zaken aan. “In Europa hebben ze niet opeens de nieuwe standaard voor cybersecurity maatregelen bedacht” stelt hij. Soortgelijke maatregelen proberen securitybedrijven al jaren bij organisaties op de agenda te krijgen. Er zijn dan ook al veel best practices en zaken zoals NIST en ISO. “Als je daar al lang mee bezig bent, dan ben je er al een heel eind”, volgens hem.
Maatregelen en rapportages
Voor organisaties zit de impact van NIS2 vooral in Artikel 21 en Artikel 23 van de nieuwe richtlijn. Artikel 21 gaat over de maatregelen die organisaties moeten nemen, Artikel 23 over de zogeheten reporting duty. Dat laatste houdt in dat organisaties binnen 24 uur een melding moeten doen nadat er iets is gebeurd. Binnen 72 uur moet er een rapportage geproduceerd zijn. “In deze sharing need en daarmee ook het helpen van peers in de markt, zit de grootste organisatie voor bedrijven”, volgens Heijdra.
Hoe sneller je iets rapporteert, des te eerder kunnen andere bedrijven in de markt zich wapenen tegen eventuele dreigingen. Maar daarvoor moet je dus wel in eerste instantie de juiste maatregelen treffen. Met andere woorden, er is telemetrie nodig om überhaupt tot een melding te kunnen komen en deze moet ook goed verzameld kunnen worden. Dat is niet voor iedere bedrijfstak even eenvoudig op dit moment. Zo moet de maakindustrie nog wel wat stappen zetten op dit punt, als je het vergelijkt met het bankwezen, geeft Heijdra als voorbeeld. Maar het moet die stappen wel echt gaan zetten om te voldoen aan de wetgeving die komt op basis van NIS2.
De onderverdeling binnen NIS2 in Essential en Important bedrijfstakken is hier overigens ook nog wel relevant om te vermelden. Binnen Essential krijgen de bedrijven op afgesproken tijden een audit. Bij Important is dat niet het geval. Auditors kunnen echter wel langskomen als er iets niet in de haak is of lijkt. Dit houdt in dat een sector zoals de maakindustrie minder scherp in de gaten gehouden wordt dan het bankwezen. Het houdt niet in dat deze sector er met de pet naar kan gooien.
Compliance is niet hetzelfde als security
De vraag is wat NIS2 als geheel nu uiteindelijk gaat opleveren op het gebied van cybersecurity. “Dat is afhankelijk van hoe we het gaan doen”, antwoordt Heijdra enigszins cryptisch. Als we doorvragen komt de betekenis van deze woorden naar boven. Wet- en regelgeving heeft vaak als ‘doel’ om er aan te voldoen, oftewel compliant te zijn. “Compliance is niet hetzelfde als security”, stelt hij. Compliance is plat gezegd een vinkje, om daadwerkelijk stappen te zetten op het gebied van cybersecurity zullen organisaties verder moeten gaan.
Toch ziet Heijdra ook wel een positief effect van NIS2 op cybersecurity. “Erover nadenken gaat wel degelijk helpen, er zijn ook steeds meer partijen die budgetten vrijmaken om erop voor te sorteren”, geeft hij aan. Met die budgetten zal er dan ook onherroepelijk geïnvesteerd gaan worden in cybersecurity. Dit om aan de strengere eisen van NIS2 te kunnen voldoen. Dat zou ervoor moeten zorgen dat er ook op het gebied van cybersecurity stappen gezet worden.
Stel vragen, maar welke?
Heijdra heeft het in ons gesprek meermaals over vragen die hij en Cisco in het algemeen ontvangen over NIS2. Dat is een goede zaak volgens hem. Klanten moeten vooral veel vragen stellen aan hun leveranciers. Het zijn uiteindelijk de organisaties die (ook) moeten voldoen aan deze nieuwe wetgeving. Dat houdt in dat ze dat ook moeten vragen van hun leveranciers. “Iedere leverancier zal zich moeten verantwoorden en iedere organisatie moet een risico-analyse doen”, in de woorden van Heijdra.
Naast de vraag of een leverancier zelf compliant is, zouden klanten ook kunnen vragen of een leverancier kan helpen compliant te worden. Een goed voorbeeld hiervan is volgens Heijdra de eisen rondom encryptie. Je moet altijd de nieuwste standaard gebruiken als organisatie. Encryptie is altijd al uitdagend, “maar je ziet dat er grote uitdagingen aankomen rondom post-quantum”. Daar moet je klaar voor zijn als organisatie. Leveranciers kunnen je daarbij helpen, maar dan moet je er zelf uiteraard ook wel mee bezig zijn en ernaar vragen.
Organisaties kunnen het niet allemaal zelf
Een andere belangrijke vraag die Heijdra regelmatig krijgt van organisaties is hoe deze in vredesnaam compliant kunnen zijn als ze geen SOC hebben. “Vooral vanuit de meldplicht moeten organisaties zelf een SOC bouwen/inrichten, maar het ontbreekt vaak aan de middelen hiervoor”, geeft hij aan. Het gaat hierbij niet alleen om de middelen om het SOC zelf op te zetten, maar ook om de salarissen te betalen voor de mensen die het moeten bemannen. Dat is dus potentieel een behoorlijk probleem voor organisaties.
Om toch over een SOC te beschikken dat kan leveren wat nodig is om te kunnen voldoen aan de meldplicht, zijn er twee mogelijkheden, geeft Heijdra aan. De eerste is om het volledig uit handen te geven via MDR/XDR. Dan geef je een leverancier (in de praktijk is dat vaak een MSSP) de opdracht om dit goed te regelen voor je. Heb je wel zelf een SOC, maar kun je niet voldoende mensen of skills in de organisatie krijgen, dan kun je meer AI in het SOC proberen te krijgen. “Dan kan een kleiner team toch opereren alsof het een volwaardig team is”, geeft hij aan. Dat is het dan in principe ook gewoon natuurlijk, mits je AI voldoende vertrouwt. Dat zal nog best een klus zijn, maar “uiteindelijk ga je AI zo vertrouwen dat je ook echt kunt gaan automatiseren”, is de overtuiging van Heijdra.
Stapsgewijs richting automatisering in cybersecurity
Automatiseren is echter pas de laatste stap van de inzet van AI binnen cybersecurity. Achtereenvolgens gaat het hier om assist, augment, automate. De eerste twee zijn er nu al binnen het portfolio van Cisco, door allerlei informatie te correleren middels AI en te koppelen met Talos, het threat intelligence-platform van Cisco. Als voorbeeld noemt Heijdra een Python-script dat altijd verkeerde intenties heeft. Dat kun je door deze correlatie en koppeling snel opsporen en neutraliseren.
“Automate is een lastige discussie”, geeft Heijdra meteen toe, al was het maar omdat dit vaak ook meerdere teams betreft. Dat wil zeggen, de automatisering van het beveiligen van een laptop is niet alleen iets wat het security team aangaat. Die laptop heeft ook allerlei andere privileges of juist beperkingen en is onderdeel van een vloot die onder beheer staat van facility management, om maar een paar dingen te noemen. Je moet dan dus gaan automatiseren over veel schijven. Dit staat nog los van of je het een AI toevertrouwt om autonoom beslissingen te nemen hierover.
Uiteindelijk is het de bedoeling om AI zo waardevol mogelijk te laten zijn voor de securitystrategie van een organisatie. Daarvoor is het belangrijk om het onderliggende algoritme optimaal te trainen. Daar komt de enorme hoeveelheid kennis en ervaring van het Talos-onderdeel weer om de hoek kijken. Daarmee kan Cisco en daarmee ook de organisaties die het platform van Cisco gebruiken een grote stap zetten in de goede richting.
Wacht niet tot de wet er is
Het mag duidelijk zijn dat organisaties nu al veel kunnen doen om klaar te zijn als de wet op basis van de NIS2-richtlijn van kracht wordt. Eigenlijk kunnen we op basis van ons gesprek met Jan Heijdra van Cisco wel concluderen dat het helemaal niet zo interessant is wanneer deze wet van kracht wordt. Het is dan eigenlijk ook niet zo boeiend dat de Nederlandse overheid al heeft aangegeven dat ze 17 oktober niet gaat halen. “Deze nieuwe wet komt er omdat er een actief dreigingslandschap is. Dat actieve dreigingslandschap is er nu, dus je hoeft niet te wachten op een wet voordat je actie onderneemt”, vat hij het samen. Ook als je niet op de lijst met Essential en Important sectoren staat, moet je ermee aan de slag.
Overkoepelend is het ook vooral erg belangrijk om de nieuwe wet niet de ‘verjuridiceren’, zoals Heijdra het met een neologisme noemt. Dat wil zeggen, het moet niet allemaal om de vinkjes gaan. “Je moet daar aan voorbijgaan”, is zijn advies. Daarbij is het zaak om goed naar de security tooling te kijken en waar nodig bij te sturen. Investeren in een MDR/XDR-platform zal daarbij niet kunnen garanderen dat een organisatie NIS2-compliant wordt. Het zorgt wel voor ondersteuning in dit proces.
Er is op dat vlak sowieso nog genoeg werk aan de winkel. Recent onderzoek vanuit Talos over 2023 gaf aan dat bij 23 procent van de breaches niet duidelijk was hoe de aanvallers binnen waren gekomen. Dat betekent dat de logging en de telemetrie bij die organisaties niet op orde is en dat het dus niet mogelijk is om te achterhalen wat er is gebeurd. Dat is met name vanuit de meldplicht en de rapportage-eisen van NIS2 wel een vereiste. Organisaties hoeven dus zeker niet stil te zitten nu. Sterker nog, ze zullen stevig aan de bak moeten.
Lees ook: Hoe navigeer je door de moderne gelaagde securitywereld? En met wie doe je dat?