NIS 2 – hoe je van naleving een middel maakt om effectiviteit te bereiken

Richtlijn (EU) 2016/​1148 van het Europees Parlement en de Raad (vanaf nu NIS of NIS 2) had tot doel de bevei­li­ging van netwerken en infor­ma­tie­sys­temen in de hele EU te garan­deren en de samen­wer­king tussen de lidstaten op het gebied van cyber­vei­lig­heid te bevor­deren. De volgende paragraaf, die uit de richtlijn is gehaald, vat samen waar het bij NIS 2 om gaat: “De verant­woor­de­lijk­heid voor het waar­borgen van de veilig­heid van netwerk- en infor­ma­tie­sys­temen ligt voor een groot deel bij essen­tiële en belang­rijke enti­teiten. Een cultuur van risi­co­be­heer, met risi­co­be­oor­de­lingen en de imple­men­tatie van risi­co­be­heers­maat­re­gelen voor cyber­be­vei­li­ging die zijn afgestemd op de risico’s, moet worden bevorderd en ontwikkeld.” 

NIS 2 is gericht op het verbe­teren van de bevei­li­ging van netwerken en infor­ma­tie­sys­temen in heel Europa en bevat eisen voor bedrijven om passende tech­ni­sche maat­re­gelen te imple­men­teren om bevei­li­gings­in­ci­denten te voorkomen, op te sporen en erop te reageren. Deze inci­denten moeten ook worden gemeld bij de nationale bevoegde instan­ties. In verge­lij­king met NIS zijn er in NIS 2 nieuwe vereisten voor vier primaire gebieden: risi­co­be­heer, verant­woor­dings­plicht van bedrijven, rappor­ta­ge­ver­plich­tingen en bedrijfscontinuïteit. 

De NIS2-richtlijn maakt onder­scheid tussen ‘essen­tiële enti­teiten’ (energie, vervoer, banken, finan­ciële markt, gezond­heid, drink­water, afval­water, digitale infra­struc­tuur, ICT-dien­sten­be­heer (B2B), over­heids­dien­sten, ruim­te­vaart) en ‘belang­rijke enti­teiten’ (post- en koeriers­dien­sten, afval­be­heer, chemi­ca­liën, levens­mid­delen, industrie, digitale aanbie­ders, onderzoek, enti­teiten die domein­naam­re­gi­stra­tie­dien­sten aanbieden). Een van de belang­rijkste verschillen tussen deze twee is dat voor belang­rijke enti­teiten lagere boetes gelden en dat zij onder­worpen zijn aan reactief toezicht door de auto­ri­teiten, in tegen­stel­ling tot proactief toezicht dat is voor­be­houden aan essen­tiële enti­teiten. Essen­tiële bedrijven boetes tot €10 miljoen euro of 2% van hun wereld­wijde jaar­lijkse omzet. Belang­rijke bedrijven boetes tot 7 miljoen euro of 1,4% van hun wereld­wijde jaar­lijkse omzet. Zowel in het geval van essen­tiële als belang­rijke enti­teiten wordt het mana­ge­ment verant­woor­de­lijk gehouden om aan de nieuwe vereisten te voldoen. 

De belang­rijkste doel­stel­lingen van NIS 2 zijn: a) beheer van het bevei­li­gings­ri­sico, b) bescher­ming tegen een cyber­aanval, c) detectie van cyber­be­vei­li­gings­ge­beur­te­nissen, d) mini­ma­li­seren van de impact van cybe­rin­ci­denten. Om de boven­ge­noemde doel­stel­lingen te bereiken, zijn er een aantal mini­mum­maat­re­gelen die alle relevante bedrijven volgens NIS2 moeten implementeren: 

(a) beleid inzake risi­co­ana­lyse en bevei­li­ging van informatiesystemen

(b) afhan­de­ling van incidenten

© bedrijfs­con­ti­nu­ï­teit, zoals back-upbeheer en nood­her­stel, en crisisbeheer

(d) bevei­li­ging van de toele­ve­rings­keten, met inbegrip van bevei­li­gings­ge­re­la­teerde aspecten betref­fende de relaties tussen elke entiteit en haar directe leve­ran­ciers of dienstverleners

(e) bevei­li­ging bij de verwer­ving, ontwik­ke­ling en het onderhoud van netwerken en infor­ma­tie­sys­temen, met inbegrip van de behan­de­ling en open­baar­ma­king van kwetsbaarheden

(f) beleid en proce­dures om de effec­ti­vi­teit van maat­re­gelen voor risi­co­be­heer op het gebied van cyber­be­vei­li­ging te beoordelen

(g) elemen­taire cyber­hy­gi­ë­ne­prak­tijken en cyberbeveiligingstraining

(h) beleid en proce­dures voor het gebruik van cryp­to­grafie en, indien van toepas­sing, versleuteling

(i) perso­neels­be­vei­li­ging, toegangs­con­tro­le­be­leid en activabeheer

(j) het gebruik van multi­fac­to­r­au­then­ti­catie of oplos­singen voor continue authen­ti­catie, bevei­ligde spraak‑, video- en tekst­com­mu­ni­catie en bevei­ligde nood­com­mu­ni­ca­tie­sys­temen binnen de entiteit, indien van toepassing.

Hoe compliance te bereiken en te gebruiken als hulpmiddel om de effectiviteit te vergroten

Naleving van NIS 2, of naleving van elke richtlijn/​regelgeving of contrac­tuele eis, wordt aanbe­volen in kaart te brengen met een van de inter­na­ti­o­nale en algemeen erkende cyberbeveiligingsraamwerken/​normen, zoals ISO/​IEC 27001:2022 en het Cyber Security Framework van NIST. Het in kaart brengen van de vereisten voor NIS 2 met een van de boven­ge­noemde raam­werken biedt een gestruc­tu­reerde aanpak voor de oplossing, omdat derge­lijke raam­werken een gemeen­schap­pe­lijke taal bieden voor de bedrijfs­pro­cessen. Raam­werken zijn ontstaan uit “best practices” en erva­ringen van talloze orga­ni­sa­ties uit vele delen van de wereld. Idealiter zou de orga­ni­satie al een eigen raamwerk voor cyber­be­vei­li­ging moeten hebben dat is gebaseerd op de boven­ge­noemde raam­werken, waardoor het nale­vings­proces een stuk eenvou­diger wordt.

Bovendien moet compli­ance zelf worden gezien als een risico dat op dezelfde manier moet worden beheerd als alle andere risico’s voor het bedrijf. Bedrijfs­ver­eisten zijn de drijf­veren die gebruikt worden om het hele risi­co­ma­na­ge­ment­pro­gramma te recht­vaar­digen. Het niet voldoen aan de security compli­ance eisen zal echter waar­schijn­lijk resul­teren in risico’s. Hiervoor moet een bewezen en volwassen risi­co­ma­na­ge­ment­me­tho­do­logie worden gebruikt die ook is afgestemd op het risi­co­ma­na­ge­men­traam­werk van de hele organisatie. 

Door de voor­ge­stelde aanpak te volgen, creëren orga­ni­sa­ties, in plaats van een reactieve aanpak te volgen, de basis om gemak­ke­lijk te voldoen aan elke nieuwe regel­ge­ving of richtlijn, en ook om bedrijfs­pro­cessen te verbe­teren, door de initi­a­tieven en het geld dat besteed wordt aan compli­ance te gebruiken om een continu proces voor compli­ance op te zetten en zo het compli­an­ce­pro­gramma om te zetten in een compe­ti­tief bedrijfsvoordeel.

Waar moet ik beginnen?

Voor­af­gaand aan de imple­men­tatie van de NIS 2‑vereisten wordt aanbe­volen een risi­co­ge­ba­seerde aanpak te hanteren door een risico- en volwas­sen­heids­be­oor­de­ling uit te voeren en een stap­pen­plan op te stellen om de naleving en effec­ti­vi­teit van de cyber­be­vei­li­ging te verbe­teren. Dit moet niet alleen worden gezien als een route­kaart voor naleving, maar als een kans om de volwas­sen­heid van het infor­ma­tie­be­vei­li­gings­pro­gramma te verbe­teren door:

• Beoor­de­ling van bedrijfs­im­pact en bedreigingsprofiel
• Beoor­de­ling van de huidige volwas­sen­heid en effec­ti­vi­teit ten opzichte van de vereiste controles
• Gebieden iden­ti­fi­ceren die voor verbe­te­ring vatbaar zijn 
• Een route­kaart opstellen voor NIS-paraat­heid en verbe­te­ring van de matu­ri­teit van infor­ma­tie­be­vei­li­ging op basis van bedrijfsrisico’s

Het compli­ance-proces moet worden beschouwd als onderdeel van het algehele raamwerk voor infor­ma­tie­be­vei­li­gings­be­heer en mag niet worden gezien als een obstakel voor bedrijfs­groei. Daarom is een gestruc­tu­reerde aanpak nodig, die begint met het beoor­delen van de relevante risico’s (risico’s van niet-naleving) en voor­stellen doet voor de vereiste aanpas­sing van het bestaande raamwerk voor informatiebeveiligingsbeheer.