9 min Security

NIS2 leidt tot betere basishygiëne

Paar maatregelen kunnen echt het verschil maken.

Insight: NIS2

NIS2 leidt tot betere basishygiëne

NIS2 is een thema waar veel om te doen is. Bedrijven zijn zich aan het voorbereiden op de nieuwe Europese richtlijn, maar tegelijk is er nog onduidelijkheid over hoe de Nederlandse overheid het vertaalt naar wetgeving. Er zit in de komende twaalf maanden hoe dan ook verandering in de pijplijn, met als gevolg een betere securitystaat. Om organisaties op weg te helpen, gaan we de komende tijd hier op Techzine extra aandacht besteden aan het onderwerp.

Dat doen we aan de hand van een tweeluik aan artikelen die we met input van experts samenstellen. Hiervoor organiseerden we een rondetafelgesprek dat meerdere aspecten belicht. Aan tafel namen Jan Heijdra (Field CTO Security bij Cisco Benelux), Mark Hupkens (Head of Secure Enterprise Management bij Orange Cyberdefense), Pieter Molen (Technical Director Benelux bij Trend Micro), Willemijn Rodenburg (Relatiemanager Overheid bij Fox-IT) en Filip Verloy (Field CTO EMEA & APJ Rx bij Rubrik) plaats. Met onze gasten bespreken we wat de gevolgen voor een bedrijf zijn, wat organisaties kunnen doen om het securityniveau te verhogen en hoe de Europese richtlijn de maatschappij zal beïnvloeden.

In het eerste artikel uit onze NIS2-reeks gingen we in op de huidige staat van NIS2 binnen organisaties en het bereiken van compliance. Dat artikel kun je teruglezen door hier te klikken.

Afdwingen dat bedrijven stappen zetten

Pieter Molen

Over de invloed van NIS2 op bedrijven zijn de deelnemers van de rondetafel in grote lijnen eensgezind. Er zijn nu behoorlijk wat bedrijven die hun security op niveau hebben, maar anno 2024 is er net zo goed een grote groep bedrijven die de zaken niet op orde hebben. En dat is zorgelijk, want het besef van een goede securitystaat is de laatste jaren wel gegroeid. Grote hackaanvallen die het nieuws bereiken doen bedrijven beseffen dat de aanvalsfrequentie en het geavanceerde karakter toeneemt. Die waarschuwende signalen zouden een stimulans moeten zijn om stappen te zetten. Helaas blijkt in de praktijk dat organisaties die slachtoffer zijn, de meest basale zaken niet op orde hadden.

Rodenburg van Fox-IT ziet dat NIS2-compliant zijn zal leiden tot een verhoogde securitystaat. De overheid gaat straks bedrijven min of meer dwingen stappen te zetten. Een mkb’er die nu geen verplichtingen heeft en laks omgaat met security zal straks actie moeten ondernemen, anders riskeert die boetes en andere straffen. Bedrijven moeten voldoen aan een framework gericht op een sterk basisniveau. “De insteek van NIS2 is dat je stappen gaat zetten”, aldus Rodenburg. Daarbij maakt ze wel de kanttekening dat het laten zien dat je als bedrijf stappen zet en bereidwillig bent, kan betekenen dat je bij fouten niet direct gestraft wordt middels boetes. Het gaat echt om de staat willen verbeteren.

Tijdens de rondetafel was er nog iets meer onduidelijkheid dan nu. Inmiddels ligt er namelijk een concept Cyberbeveiligingswet (Cbw). Dit is nog niet een defenitieve versie, aangezien er nog een consultatieperiode loopt en de beoordeling door de Raad van State volgt. Ook heeft de minister bevestigd dat de NIS2-invoering in het tweede of derde kwartaal van 2025 plaatsvindt.

Aan tafel ontstaat ook een discussie over wat NIS2-compliance nou uiteindelijk gaat zeggen. Je kunt straks waarschijnlijk als bedrijf een certificaat krijgen waarmee je aantoont dat je aan de richtlijn en wet voldoet. Maar komen er dan niet ineens bedrijven op die heel gemakkelijk zo’n certificaat afgeven? Wellicht dat ze even een uur wat pentesten uitvoeren op de systemen van een bedrijf dat een NIS2-certificaat wil krijgen, om vervolgens het certificaat uit te schrijven. Dat risico loopt de samenleving met dergelijke richtlijnen; compliance zegt niet alles, maar er worden hoe dan ook stappen gezet om een betere basis te krijgen.

Paar maatregelen maken het verschil

Het blijft wel alarmerend dat die basis op orde krijgen afgedwongen moet worden met een Europese afspraak. De bedrijven waar de rondetafeldeelnemers voor werken, brengen immers regelmatig rapporten uit op basis van threat intel en andere telemetrie. Die laten zien waar lekken vandaan komen. Ook Verloy van Rubrik ziet die lijstjes voorbijkomen. “Vaak zijn het de basiszaken die niet goed geregeld zijn. Heb je multi-factor authentication? En heb je inzage in fysieke toestellen binnen je bedrijf”, stipt Verloy de missende zaken aan. Voor een securityprofessional lijken zulke stappen logisch, maar in de praktijk zijn ze nog te weinig geregeld binnen organisaties.

Mark Hupkens

Deze maatregelen kunnen straks geforceerd worden door de NIS2. Voert je bedrijf op dergelijke vlakken geen verbeteringen door, dan is dat mogelijk in strijd met de zorgplicht. Die schrijft immers voor dat de bescherming van systemen op niveau moet zijn. Stel dat ieder bedrijf daardoor vijf tot tien maatregelen treft, dan is de basishygiëne al naar een hoger niveau gebracht. Bij basismaatregelen kun je denken aan het toepassen van encryptie op data en iedere medewerker, klant en partner multi-factor authentication laten gebruiken. Welke maatregelen je het best als eerste zet, zal uiteindelijk per bedrijf verschillen. Maar er is bijna altijd wel iets mogelijk om de basishygiëne te bereiken en te vergroten. Zelfs de volwassen organisaties kunnen wat dat betreft steekjes laten vallen.

Weet wat je hebt

Bij de woorden van Verloy sluit ook Molen van Trend Micro zich aan. Volgens hem begint het verhogen van het securityniveau en het bepalen van welke basismaatregelen te treffen voor bedrijven bij het in controle zijn over de eigen IT-infrastructuur. Het gaat dan om alle zaken die daaronder vallen; van bedrijfslaptops tot SaaS-diensten en van het eigen datacenter tot de cloud. “Daar zit echt de grote stap”, aldus Molen. “Je moet weten wat er gebeurt binnen je IT-infrastructuur en waar je risico’s zitten, anders kun je de rest wel vergeten.”

Jan Heijdra

Op dit vlak kan de NIS2 een uitdaging zijn. Bedrijven lijken in grote lijnen op twee manieren getroffen te worden door de Europese richtlijn. Of ze komen vanuit de NIS1 (vaak grote organisaties) en hebben al maatregelen getroffen. De NIS2 betekent dan dat ze niet al te veel aanpassingen hoeven te doen – vaak gaat het om enkele details doorvoeren. Bij deze grote organisaties is het vaak wel zo dat ze sinds de invoering van NIS1 jaren terug enorm zijn gegroeid in capaciteit en IT-resources. Het zicht op alle IT-assets kan daarmee verloren zijn geraakt. Dat leidt tot obstakels als je de securitystaat wil verbeteren.

Aan de andere kant heb je nu de bedrijven die geen NIS-historie kennen. Dat kunnen mkb’ers zijn. Weten zij wel wat ze allemaal hebben? Als dat nu nog in kaart gebracht moet worden, wat aannemelijk is, kan het op tijd klaar zijn voor de NIS2 wel eens een uitdaging worden. Dit type bedrijf heeft dan geen comfortabel startpunt op weg naar compliance en daarmee het op orde krijgen van de basishygiëne.

Heel Europa weerbaarder

Wat Molen hiermee schetst, is hoe je als individueel bedrijf je cybersecuritystrategie naar nieuwe hoogte kan tillen. Een winst die we goed kunnen gebruiken, want zoals we eerder al schetsten, gaat het nog te vaak fout. Maar wat Heijdra betreft, moeten we de discussie over de noodzaak van NIS2 ook breder zien. Het is niet enkel de securitystaat van een enkel bedrijf omhoog brengen dat centraal staat. “De insteek is denk ik ook om Europa breed cybersecurity op een hoger niveau te krijgen. Dus dat hoeft niet te betekenen dat die individuele partij beter beveiligd is, maar dat we over die hele supply chain cybersecurity naar een hoger niveau hebben gekregen. Dat gaat die partijen allemaal helpen”, aldus Heijdra.

Filip Verloy

Hiermee snijdt hij een nieuw punt aan waar de deelnemers aan de rondetafel over in discussie raken. Er worden voorbeelden genoemd als de open-source kwetsbaarheid Log4Shell en de Intel-kwetsbaarheid Spectre. Die problemen hadden Europa breed enorme impact. Bedrijven werden maandenlang achtervolgd door de kwetsbaarheden in hun IT-huishouding. Er waren echter ook bedrijven die zelf niet door de kwetsbaarheden getroffen waren, maar er bijvoorbeeld wel last van hadden via een partner in de supply chain. Daar kan de uiteindelijke wetgeving voortvloeiend uit de NIS2 echt verandering in brengen. In de gehele breedte kan het bedrijfsleven veiliger worden omdat een hele grote groep bedrijven het securityniveau ophoogt. De kans op een aanval die via omwegen binnenkomt, neemt af omdat Europa in zijn geheel weerbaarder is geworden.

Verplicht informatie delen

Hupkens van Orange Cyberdefense sluit zich bij de woorden van Heijdra aan dat we als Europa veiliger worden dankzij de NIS2. “De EU gaat het nu voor een groot deel uniformeren. Dat was in feite een fout die ze bij NIS1 hadden gemaakt. Je mocht het zelf naar believen als land invullen. De NIS2 zegt: ‘beste lidstaat, je zult dit allemaal op deze en deze manier gaan doen.’ Het is echt directief”, aldus Hupkens. EU-lidstaten moeten wel zelf de NIS2-richtlijn omzetten in wetgeving, maar er is veel meer eendracht op cybervlak dan voorheen.

Willemijn Rodenburg

Bovendien kleeft aan deze Europa-brede weg van cyberweerbaar worden nog de meldplicht die het niveau verhoogt. Hierdoor zullen bedrijven melding moeten maken van een cyberincident waar ze mee te maken krijgen. “Het verplicht delen van die informatie, daar zit de winst van de NIS2. En daarbij komt ook dat de overheid gaat helpen informatie beschikbaar te stellen”, legt Hupkens uit. Het levert extra informatie op die kan helpen bij een volgende kwetsbaarheid met Log4Shell-achtige impact. En die informatie zal beschikbaar zijn, stelt Hupkens, omdat de meldplicht gekoppeld is aan persoonlijke aansprakelijkheid van het management. “Als de financieel directeur platgezegd de bak in kan draaien voor het niet op orde hebben van de zaken, dan kun je je het niet veroorloven om bepaalde meldingen niet te doen. Als het toch uitkomt en een keer de pers haalt of in de supply chain wordt opgemerkt, dan zijn de gevolgen op zowel organisatie- als persoonlijk niveau groot. Inmiddels weten we op basis van de concept Cyber Beveiligingswet dat dit iets genuanceerder ligt. Desalniettemin kan voor een essentiële entiteit de license to operate worden ingetrokken. Bij belangrijke entiteiten gaat het in eerste instantie voornamelijk om financiële consequenties, maar wel op bestuurlijk én persoonlijk niveau. Er is dus werk aan de winkel lijkt mij.”

Daarmee is alles wat de komende NIS2-richtlijn doet, op de een of andere manier verantwoordelijk voor het verhogen van de securitystaat, zowel voor bedrijven als voor Europa in zijn geheel. Dat begint vaak bij het op orde brengen van de basishygiëne. Hoe je dat als organisatie doet, zal afhangen van jouw situatie. Maar iedere stap die een organisatie zet, helpt zowel het eigen bedrijf als de maatschappij.