NIS2 stelt hoge verwachtingen voor de bescherming van bedrijven tegen cyberaanvallen. Hoewel de wet bewustzijn en verantwoordelijkheid bevordert binnen organisaties, zijn er ook kritische kanttekeningen. Verschillende experts uit de industrie gaan in gesprek over de sterke punten en zwaktes van NIS2.
De richtlijn NIS2 is door Europa definitief ingevuld. Voorlopig zijn de lidstaten nog aan zet met het omvormen van de richtlijn in een nationale wetgeving. Vroeg of laat krijgen Europese bedrijven dus te maken met nieuwe regels waar de digitale beveiliging van bedrijven aan moet voldoen.
Gezien het gaat over een tweede versie van de wet, zijn er nieuwe zaken opgenomen en werden bepaalde regels aangepast. Wat denken Nederlandse experts hierover en wat kan er -voor een mogelijke toekomstige derde versie- nog beter? Pieter Jansen, SVP of Cyber Innovation bij Darktrace, Lieke Hamers, Field CTO bij Dell Technologies, Cindy Wubben, CISO Public Segment bij Visma, Edwin Weijdema, Field CTO EMEA bij Veeam Software en Rob Vissers, Regional Director en Security Sales bij Dynatrace, gaan daar samen over in gesprek.
Brave ambities
NIS2 of een andere security-wetgeving vormt nooit een definitieve oplossing tegen hackers. Dat bestaat niet en dus blijven hacks ook na de invoering dagelijkse kost. In NIS2 komt volgens de bedenkers ook het aspect van na de aanval aan bod en zou voornamelijk de bedrijfscontinuïteit minder in het gedrang komen. Dat vertelt Bart Groothuis, lid van het Europees Parlement namens VVD en medegrondlegger van NIS2, in de podcast Baseline NIS2. Vissers ziet wel degelijk aspecten van de wetgeving die dit standpunt onderbouwen. “De wet draagt hier aan bij door bewustwording te creëren bij meer niveaus in een organisatie.” Hamers stipt dan weer een punt van kritiek aan. “Recovery blijft je eigen feestje en is geen onderdeel van NIS2. De wet geeft organisaties zeker handvaten over hoe een aanval tegen te houden, maar vanaf het moment dat je gehackt bent dan moet de organisatie het zelf uitzoeken.”
Eens een bedrijf in de fase zit dat het gehackt is, ziet Vissers nog een ander punt waarop de wetgevers kansen hebben laten liggen. Het is niet te zeggen dat het nadelig is dat er ruimte is gekomen voor het toezien op de naleving van de regels. Daar draagt een meldingsplicht aan bij, net als de zorgplicht het verplicht maakt te bewijzen dat alle nodige maatregelen werden getroffen om een aanval te voorkomen. Het wordt wel gehekeld dat organisaties zo lang de tijd krijgen om melding te maken. “De wetgevers hebben de traditionele weg gevolgd, terwijl het net harder en scherper had gemogen. Zeker omdat cybersecurity snel evolueert en AI het bijvoorbeeld mogelijk maakt om de melding te automatiseren.”
De onderdelen van de meldingsplicht
Door de NIS2 worden bedrijven verplicht belangrijke beveiligingsincidenten te melden. Het gaat hier dus om incidenten van de categorie die de operationele processen ernstig verstoren of waarin anderen worden betrokken (zoals bij een datalek).
De meldingsplicht omvat drie onderdelen:
- Een vroege waarschuwing die ten laatste 24 uur na de ontdekking van het incident moet worden gemaakt. Hierin staat basisinformatie en wordt een schatting gemaakt of het incident zich kan verspreiden naar andere sectoren of het buitenland.
- Een complete incidentmelding volgt binnen de 72 uur na ontdekking.
- Een verslag op basis van onderzoek naar het incident wordt ingediend na één maand.
Jansen herinnert iedereen er nog eens aan dat de NIS2 problemen uit vorige wetgevingen probeert op te lossen, door net nieuwe technologieën zoals AI niet te benoemen. “In de GDPR heeft de wetgever geprobeerd voorspellend te werken in de bewoording dat ieder bedrijf over ‘state of the art’ beveiligingsoplossingen moet hebben. Dan ligt de verantwoordelijkheid bij security-experts om in te vullen wat die term precies inhoudt en dat leverde chaos op.” Wetgevers baseerden zich in andere woorden op de kennis die voor handen was toen NIS2 werd ontworpen. Het voorstel voor de aanpassing van de voorganger, die in Nederland bekend staat als de Cyberbeveilingwet, werd ingediend in december 2020. AI is pas veel recenter beschikbaar gemaakt voor een groter publiek en als gevolg zo relevant geworden.
Werkmodel in silo’s onder druk
De NIS2 legt de verantwoordelijkheid van een cybersecurity-incident bij het bestuur neer om het bewustzijn van het belang van beveiliging breder te maken dan de IT-afdeling. Volgens Vissers is dit een goed en jammer verhaal tegelijk. “Het is belangrijk dat cybersecurity niet alleen iets blijft waar de IT-afdeling zich druk over maakt. Hoewel het tegelijk jammer is dat daar een intrinsieke motivatie van het bestuur niet toe heeft geleid.”
Het zien als een middel om budgetten mee af te dwingen voor cybersecurity, gaat voor de experts te ver. Door de verantwoordelijkheid in de schoenen van de CEO te schuiven, zien ze alleen dat er een organische manier ontstaat om cybersecurity top-down aan te pakken. Weijdema vertelt: “NIS2 vereist als team te werken om overeind te blijven. Dat terwijl veel bedrijven nu nog in silo’s werken waardoor iedereen de schuld makkelijk van zich afschuift.”
Jansen trekt het nog veel breder en kijkt met grote ogen naar de breedheid waarin NIS2 effect zal hebben. “Hoewel het hier gaat om een Europese wetgeving, merk ik nu al dat de effecten ook in Amerika voelbaar zullen zijn. Daar hebben we van partijen al vragen gekregen over de voorbereiding, want zij maken zich natuurlijk klaar voor de vereisten die Europese partners vanaf oktober aan hun opleggen.” Het effect zal volgens hem niet alleen organisatie-specifiek zijn, door de ketenverantwoordelijkheid. “Op Europees niveau is redelijk duidelijk aangegeven dat de gehele keten verantwoordelijkheid draagt voor het veilig houden van data. Als bij een bedrijf dat niet onder NIS2 valt dan twintig procent van de klanten aan de wet moet voldoen, dan krijgt dataprivacy ook bij deze bedrijven meer prioriteit.”
Organisaties de juiste handvaten geven
Dat de intrinsieke motivatie voor het in orde brengen van cybersecurity nog in heel wat organisaties mist, is volgens Wubben een uitdaging waar aanbieders van security-oplossingen nog meer mee moeten. Hoewel haar organisatie, Visma, security ziet als een kans in plaats van een kostenpost, weet ze dat deze mentaliteit niet in alle organisaties bestaat. Met verschillende van deze vendoren aan tafel, ontstaan er verschillende ideeën over de wijze waarop dit kan gebeuren. “In de openbare sector zoals het onderwijs is er minder aandacht voor security. Vaak mist er daar kennis over de vragen die ze moeten stellen en dat proberen wij aan te pakken binnen Visma.”
Vissers werpt op dat het ook nog een uitdaging zal zijn om met klanten om te gaan die verwachten dat er een standaardoplossing voor NIS2 in de markt wordt gezet. “Daarom houden we consultaties met betrokken klanten. Daar is toegegeven zeker nog ruimte voor verbetering, doordat er ook een gemis is aan middelen om de consultaties en communicatie echt samen te brengen.” Hij onderstreept het belang van samenwerkingen zoals we deze vandaag aan tafel mogen aanschouwen om het beste resultaat voor de klant te krijgen. “Consultaties worden vooral opgezet vanuit eigen belang , terwijl we net samen verder vooruitkomen.”
Rol van de toezichthouder
In Nederland is de Rijksinspectie Digitale Infrastructuur aangeduid als toezichthouder op het naleven van de NIS2. De toezichthouder speelt eveneens een belangrijke rol bij het informeren en ondersteunen van bedrijven bij NIS2. Voor lange tijd zal dat nog in een voorbereidingsfase zijn. Dat komt door de late implementatie van de Europese richtlijn in een nationale wetgeving. Vanuit Europa wordt de deadline van 17 oktober 2024 opgelegd, maar in Nederland kijkt dat tegen een vertraging van minstens een half jaar op.
De Rijksinspectie gaf in een interview met onze redactie al aan dat de vertraging tijd vrijmaakt om de voorbereiding tot in de kleinste details te perfectioneren. We merken op dat dit nodig zal zijn om het vertrouwen van de vendoren te winnen. “Toezichthouders geven zelf al aan dat ze te weinig bandbreedte hebben om op alles toezicht te houden”, zegt Vissers. Wubben valt hem in de rede: “Hetzelfde zagen we bij de GDPR, maar door de tijd heen zie je toch dat er verandering in komt en toezicht verbetert.”
Conclusie
NIS2 is een stap in de goede richting voor het verbeteren van cyberbeveiliging in Europa, maar het is geen allesomvattende oplossing. Het bevordert bewustzijn en verantwoordelijkheid binnen bedrijven, maar laat herstel na een aanval aan de organisaties zelf over. De meldingsplichten zijn streng, maar er is ruimte voor verbetering in de snelheid en efficiëntie van meldingen.
De industrie kijkt voornamelijk uit naar de vernieuwde prioriteit die security binnen bedrijven kan krijgen door bestuurders verantwoordelijk te stellen. Hoewel het tegelijk nuchter blijft en er ingezien wordt dat beveiliging in veel bedrijven nog dermate achterstaat dat het in korte tijd niet rechtgebreid kan worden.
Tip! NIS2-compliance is het startpunt, betere security het doel