Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad (vanaf nu NIS of NIS 2) had tot doel de beveiliging van netwerken en informatiesystemen in de hele EU te garanderen en de samenwerking tussen de lidstaten op het gebied van cyberveiligheid te bevorderen. De volgende paragraaf, die uit de richtlijn is gehaald, vat samen waar het bij NIS 2 om gaat: “De verantwoordelijkheid voor het waarborgen van de veiligheid van netwerk- en informatiesystemen ligt voor een groot deel bij essentiële en belangrijke entiteiten. Een cultuur van risicobeheer, met risicobeoordelingen en de implementatie van risicobeheersmaatregelen voor cyberbeveiliging die zijn afgestemd op de risico’s, moet worden bevorderd en ontwikkeld.”
NIS 2 is gericht op het verbeteren van de beveiliging van netwerken en informatiesystemen in heel Europa en bevat eisen voor bedrijven om passende technische maatregelen te implementeren om beveiligingsincidenten te voorkomen, op te sporen en erop te reageren. Deze incidenten moeten ook worden gemeld bij de nationale bevoegde instanties. In vergelijking met NIS zijn er in NIS 2 nieuwe vereisten voor vier primaire gebieden: risicobeheer, verantwoordingsplicht van bedrijven, rapportageverplichtingen en bedrijfscontinuïteit.
De NIS2-richtlijn maakt onderscheid tussen ‘essentiële entiteiten‘ (energie, vervoer, banken, financiële markt, gezondheid, drinkwater, afvalwater, digitale infrastructuur, ICT-dienstenbeheer (B2B), overheidsdiensten, ruimtevaart) en ‘belangrijke entiteiten‘ (post- en koeriersdiensten, afvalbeheer, chemicaliën, levensmiddelen, industrie, digitale aanbieders, onderzoek, entiteiten die domeinnaamregistratiediensten aanbieden). Een van de belangrijkste verschillen tussen deze twee is dat voor belangrijke entiteiten lagere boetes gelden en dat zij onderworpen zijn aan reactief toezicht door de autoriteiten, in tegenstelling tot proactief toezicht dat is voorbehouden aan essentiële entiteiten. Essentiële bedrijven boetes tot €10 miljoen euro of 2% van hun wereldwijde jaarlijkse omzet. Belangrijke bedrijven boetes tot 7 miljoen euro of 1,4% van hun wereldwijde jaarlijkse omzet. Zowel in het geval van essentiële als belangrijke entiteiten wordt het management verantwoordelijk gehouden om aan de nieuwe vereisten te voldoen.
De belangrijkste doelstellingen van NIS 2 zijn: a) beheer van het beveiligingsrisico, b) bescherming tegen een cyberaanval, c) detectie van cyberbeveiligingsgebeurtenissen, d) minimaliseren van de impact van cyberincidenten. Om de bovengenoemde doelstellingen te bereiken, zijn er een aantal minimummaatregelen die alle relevante bedrijven volgens NIS2 moeten implementeren:
(a) beleid inzake risicoanalyse en beveiliging van informatiesystemen
(b) afhandeling van incidenten
(c) bedrijfscontinuïteit, zoals back-upbeheer en noodherstel, en crisisbeheer
(d) beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten betreffende de relaties tussen elke entiteit en haar directe leveranciers of dienstverleners
(e) beveiliging bij de verwerving, ontwikkeling en het onderhoud van netwerken en informatiesystemen, met inbegrip van de behandeling en openbaarmaking van kwetsbaarheden
(f) beleid en procedures om de effectiviteit van maatregelen voor risicobeheer op het gebied van cyberbeveiliging te beoordelen
(g) elementaire cyberhygiënepraktijken en cyberbeveiligingstraining
(h) beleid en procedures voor het gebruik van cryptografie en, indien van toepassing, versleuteling
(i) personeelsbeveiliging, toegangscontrolebeleid en activabeheer
(j) het gebruik van multifactorauthenticatie of oplossingen voor continue authenticatie, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit, indien van toepassing.
Hoe compliance te bereiken en te gebruiken als hulpmiddel om de effectiviteit te vergroten
Naleving van NIS 2, of naleving van elke richtlijn/regelgeving of contractuele eis, wordt aanbevolen in kaart te brengen met een van de internationale en algemeen erkende cyberbeveiligingsraamwerken/normen, zoals ISO/IEC 27001:2022 en het Cyber Security Framework van NIST. Het in kaart brengen van de vereisten voor NIS 2 met een van de bovengenoemde raamwerken biedt een gestructureerde aanpak voor de oplossing, omdat dergelijke raamwerken een gemeenschappelijke taal bieden voor de bedrijfsprocessen. Raamwerken zijn ontstaan uit “best practices” en ervaringen van talloze organisaties uit vele delen van de wereld. Idealiter zou de organisatie al een eigen raamwerk voor cyberbeveiliging moeten hebben dat is gebaseerd op de bovengenoemde raamwerken, waardoor het nalevingsproces een stuk eenvoudiger wordt.
Bovendien moet compliance zelf worden gezien als een risico dat op dezelfde manier moet worden beheerd als alle andere risico’s voor het bedrijf. Bedrijfsvereisten zijn de drijfveren die gebruikt worden om het hele risicomanagementprogramma te rechtvaardigen. Het niet voldoen aan de security compliance eisen zal echter waarschijnlijk resulteren in risico’s. Hiervoor moet een bewezen en volwassen risicomanagementmethodologie worden gebruikt die ook is afgestemd op het risicomanagementraamwerk van de hele organisatie.
Door de voorgestelde aanpak te volgen, creëren organisaties, in plaats van een reactieve aanpak te volgen, de basis om gemakkelijk te voldoen aan elke nieuwe regelgeving of richtlijn, en ook om bedrijfsprocessen te verbeteren, door de initiatieven en het geld dat besteed wordt aan compliance te gebruiken om een continu proces voor compliance op te zetten en zo het complianceprogramma om te zetten in een competitief bedrijfsvoordeel.
Waar moet ik beginnen?
Voorafgaand aan de implementatie van de NIS 2-vereisten wordt aanbevolen een risicogebaseerde aanpak te hanteren door een risico- en volwassenheidsbeoordeling uit te voeren en een stappenplan op te stellen om de naleving en effectiviteit van de cyberbeveiliging te verbeteren. Dit moet niet alleen worden gezien als een routekaart voor naleving, maar als een kans om de volwassenheid van het informatiebeveiligingsprogramma te verbeteren door:
- Beoordeling van bedrijfsimpact en bedreigingsprofiel
- Beoordeling van de huidige volwassenheid en effectiviteit ten opzichte van de vereiste controles
- Gebieden identificeren die voor verbetering vatbaar zijn
- Een routekaart opstellen voor NIS-paraatheid en verbetering van de maturiteit van informatiebeveiliging op basis van bedrijfsrisico’s
Het compliance-proces moet worden beschouwd als onderdeel van het algehele raamwerk voor informatiebeveiligingsbeheer en mag niet worden gezien als een obstakel voor bedrijfsgroei. Daarom is een gestructureerde aanpak nodig, die begint met het beoordelen van de relevante risico’s (risico’s van niet-naleving) en voorstellen doet voor de vereiste aanpassing van het bestaande raamwerk voor informatiebeveiligingsbeheer.