NIS2: cybersecurity tot in de boardroom

Afgelopen december is de nieuwe Europese richtlijn NIS2 goedgekeurd. NIS staat voor Network and Information Security Directive (netwerk- en informatiebeveiliging) en is de opvolger van de NIS1 richtlijn. In Nederland is deze richtlijn vertaald naar de Wet Beveiliging Netwerk en Informatiesystemen (Wbni). De Wbni regelt tot op heden de verdeling van taken en verantwoordelijkheden op het gebied van cybersecurity tussen overheidsinstellingen, met name van het Nationaal Cyber Security Center (NCSC). De NIS2-richtlijn is mede opgesteld om de verschillen in cyberwetgeving tussen Europese landen te verkleinen en meer uniformiteit te creëren met het oog op risicobeheer op het gebied van cyberbeveiliging.

Uit onderzoek van het CBS is gebleken dat er ongeveer 4355 entiteiten (bedrijven) in Nederland onder de NIS2 zullen gaan vallen. De Nederlandse overheid is momenteel druk bezig met het vertalen van de richtlijn naar Nederlandse wetgeving. Vanaf 17 oktober 2024 moet iedere Europese lidstaat een cyberstrategie hebben ontwikkeld en deze hebben vertaald naar nationale wetgeving.

Wat er gaat veranderen

Weliswaar is er nog veel onduidelijk aangezien de NIS2 een richtlijn betreft en de lidstaten er (deels) zelf invulling aan mogen geven. Desalniettemin stelt de Europese Unie uniforme regels waaraan alle betreffende entiteiten moeten voldoen.

Wie onder de NIS2 valt, hangt af van twee zaken; het formaat van de entiteit en in welke sector deze werkzaam is. Kleine entiteiten zijn uitgesloten van de NIS2 (minder dan 50 werknemers en minder dan 10 miljoen jaarlijkse omzet). Een middelgroot bedrijf heeft tussen de 50 en 250 werknemers en heeft een jaarlijkse omzet tussen de 10 en 50 miljoen, een groot bedrijf heeft meer dan 250 werknemers en de jaarlijkse omzet is groter dan 43 miljoen.

Onder de NIS2 vallen 18 sectoren, welke zijn verdeeld in kritiek en zeer kritiek.

Sectoren

Er zijn 11 ‘zeer kritieke’ sectoren, de bedrijven binnen deze sectoren zullen worden aangeduid als essentiële entiteiten:

1. Energie (Elektriciteit, stadsverwarming en – koeling, aardolie, aardgas en waterstof)
2. Vervoer (Lucht, Spoor, Water en Weg)
3. Bankwezen
4. Infrastructuur voor de financiële markt
5. Gezondheidszorg
6. Drinkwater
7. Afvalwater
8. Digitale infrastructuur
9. Beheer van ICT-diensten
10. Overheid
11. Ruimtevaart

Gekwalificeerde providers van vertrouwensdiensten, registers van topleveldomeinnamen en DNS-dienstverleners, aanbieders van openbare elektronische-communicatienetwerken of openbaar beschikbare elektronische communicatiediensten, en de onder NIS1 vallende OES (aanbieders essentiële services), zijn altijd essentieel.

Aanvullend zijn er 7 ‘kritieke’ sectoren. De bedrijven binnen deze sectoren zullen worden aangeduid als belangrijke entiteiten:

1. Post- en koeriersdiensten
2. Afvalstoffenbeheer
3. Vervaardiging, productie en distributie van chemische stoffen
4. Productie, verwerking en distributie van levensmiddelen
5. Vervaardiging (Van medische hulpmiddelen en voor in-vitrodiagnostiek, Informaticaproducten en elektronische en optische producten, elektrische apparatuur, machines, apparaten en werktuigen, n.e.g. motorvoertuigen, aanhangers en opleggers en andere transportmiddelen)
6. Digitale aanbieders
7. Onderzoek

Het onderscheid tussen "essentieel" en "belangrijk" heeft te maken met de reikwijdte van het toezicht. Essentiële entiteiten worden proactief bewaakt, terwijl de controle van belangrijke entiteiten reactief is.

Risicobeheersmaatregelen

De NIS2 kent twee belangrijke onderdelen, de risicobeheersmaatregelen en rapportageverplichting. De risicobeheersmaatregelen omvatten een aantal verplichte onderdelen waarop de entiteiten actie moeten ondernemen. In ieder geval op het gebied van cyberbeveiliging en bewustzijn, de zogeheten basispraktijken. Bovendien schrijft de NIS2 voor dat entiteiten passende technische, operationele en organisatorische maatregelen moeten nemen om de risico's te beperken voor netwerk- en informatiesystemen die in de dagelijkse bedrijfsvoering worden gebruikt. Er zal in ieder geval beleid worden gemaakt met betrekking tot:

• Risicoanalyse en beveiliging van informatiesystemen;
• Incidentenbehandeling;
• Bedrijfscontinuïteit zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer;
• De beveiliging van de toeleveringsketen, zoals de entiteit en haar rechtstreekse leveranciers of dienstverleners;
• Verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen zoals respons op - en bekendmaking van kwetsbaarheden;
• Effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s;
• Basispraktijken op het gebied van cyberhygiëne en opleiding. Dit betreft onder andere zero trust-beginselen, software-updates, configuratie van apparaten, netwerksegmentatie, identiteits- en toegangsbeheer, gebruikersbewustzijn, en opleidingen voor zowel personeel en bestuursorganen, met als doel het bewustzijn van cyberdreigingen zoals phishing of social engineeringtechnieken te vergroten;
• Het gebruik van cryptografie, zoals encryptie;
• Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
• Het gebruik van Multi factor-authenticatie- (MFA) of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen.

Het is aan de lidstaten om te bepalen hoe streng deze maatregelen zullen zijn. Als entiteit kunt u echter nu al nagaan of uw bedrijf deze al heeft geïmplementeerd en in welke mate. Bovenstaande bron geeft het huidige advies van het NCSC over basismaatregelen op het gebied van cyberbeveiliging weer. Aan welke standaard(en) de entiteiten precies zullen moeten voldoen is nog niet bekend. Toch, wanneer we kijken naar bovenstaande gebieden, komt er veel overeen met onderdelen uit de ISO27001 / 2 standaard, welke is gebruikt als basis van de NIS1. Daarnaast is er ook overlapping met de voorschriften inzake cyberbeveiliging voor operationele technologie (OT), zoals de IEC62443-norm.

Concrete voorbeelden van overlap van verplichte onderdelen van de NIS2 maatregelen met deze standaarden zijn:

ISO27002

People management (hoofdstuk 6, people controls) Incidenten behandeling (5.24, 5.25, 5.26 en 6.8) Back-up- en crisisbeheer en noodvoorzieningen (8.6, 8.13, 8.14, 5.29 en 5.30) Het gebruik van encryptie (8.24) MFA (5.13, 5.17 en 8.5)

IEC62443

Risicoanalyse en beveiliging van informatiesystemen (geheel delen 3.2 en 3.3) Incidentenbehandeling (deel 2.4 SP.08) Bedrijfscontinuïteit (deel 2.4 SP.12, deel 3.3 SR7.3 en deel 3.3 SR7.5) De toeleveringsketen (geheel deel 2.4) MFA (deel 3.3 FR1 en FR4.)

Rapportageverplichting

Het volgende belangrijke component van de NIS2 is de rapportageverplichting of wel, meldingsplicht. Wanneer zich een ‘significant’ incident voordoet, moet binnen 24 uur na kennisgeving van het incident een waarschuwing worden gegeven.

Binnen 72 uur moet er een incidentenrapport worden ingediend met, indien van toepassing, een actualisering van de signalering, een eerste beoordeling, met inbegrip van de ernst en de gevolgen ervan, en indien beschikbaar, indicatoren voor eventuele verslechtering.

Uiteindelijk moet er uiterlijk binnen een maand een tussentijdse actualisering en een eindverslag worden ingediend. Dit moet een gedetailleerde beschrijving bevatten van het incident met de mogelijke oorzaak, ernst, maatregelen en (grensoverschrijdende) gevolgen.

Een significant incident is een serieuze operationele verstoring van de dienstverlening of financiële gevolgen voor de betrokken entiteit waardoor natuurlijke of rechtspersonen worden of kunnen worden geraakt door aanzienlijke materiële of immateriële schade.

Wanneer bovenstaande vereisten niet worden geïmplementeerd en/of er geen gehoor wordt gegeven aan de meldplicht, schrijft de NIS2 een verplichte boete voor. Voor essentiële entiteiten is dit een administratieve boete van maximaal 10 miljoen euro of ten minste 2% van de wereldwijde jaaromzet, afhankelijk van welke hoger is. De handhaver zal maatregelen voorschrijven en wanneer deze niet worden opgevolgd kan de bevoegde autoriteit vergunningen opschorten en een natuurlijk persoon (algemeen directeur of wettelijke vertegenwoordiger) tijdelijk verbieden zijn of haar rol uit te voeren. Voor belangrijke entiteiten geldt enkel een administratieve boete van maximaal 7 miljoen of 1,4% van de totale jaarlijkse wereldwijde omzet, afhankelijk van welke hoger is. De bevoegde autoriteiten kunnen zo nodig achteraf toezichtmaatregelen nemen.

Wat krijg je er voor terug?

Het doel van de NIS2 is de cyberweerbaarheid binnen Europa te vergroten. Dit omvat niet alleen veel eisen en plichten, maar ook hulp aan entiteiten. De NIS2 vereist dat iedere lidstaat één of meerdere Cyber Incident Response Teams (CSIRTs) benoemt. De CSIRTs maken informatiedeling mogelijk en zorgen dat entiteiten tijdig geïnformeerd worden over dreigingen. Tevens faciliteren zij vrijwillige informatiedeling. Hierdoor worden dreigingen eerder gedeeld, wat het anticiperen op cyberonveiligheden vergroot.

CSIRTs moeten dus reageren op incidenten en bijstand verlenen aan essentiële en belangrijke entiteiten. Daarnaast kan het CSIRT, zowel op verzoek entiteiten als vrijwillig, proactief en niet intrusief het netwerk en de informatiesystemen van entiteiten scannen om kwetsbaarheden met mogelijk aanzienlijke gevolgen op te sporen. Aanvullend kan de entiteit vragen om een leidraad of operationeel advies voor de uitvoering van mogelijke risico beperkende maatregelen naar aanleiding van een melding. Het CSIRT zal hier gehoor aan moeten geven. Ook gaan de CSIRTs openbare netwerken proactief scannen.

Afsluitend, gaat ENISA een Europese databank voor het melden van kwetsbaarheden opzetten. Alle belanghebbenden zullen toegang krijgen tot deze kwetsbaarheidsdatabase. Wanneer kwetsbaarheden zijn gevonden zullen hierin de betrokken ICT-producten of -diensten, de ernst van de kwetsbaarheid, details van de situatie en beschikbare patches worden vermeld.

En nu?

Ondanks dat de regelgeving nog niet definitief is, dient nu al wel te worden nagedacht over de consequenties van de invoering van NIS2. De komende tijd zal langzaam steeds duidelijker worden wat de vertaling van de NIS2 zal betekenen voor de Nederlandse entiteiten.

Binnen CGI kunnen onze cybersecurity experts nu al hulp bieden bij de voorbereiding op de NIS2. Met onder andere onze adviesdiensten, beveiligingstechnieken en managed security services bieden we hulp bij het aanpakken van deze voorbereidingen. Wij helpen klanten op het gebied van compliance en audits tot aan voorschriften en architectuur. Om te zien op welke gebieden u als entiteit kunt verbeteren, is een security assessment aan te bevelen zodat de balans kan worden opgemaakt. Dit kan zowel op basis van de beveiligingsnorm ISO27001 of 2, als op basis van IEC62443.

Het onderdeel bedrijfscontinuïteit kan worden aangepakt door middel van het schrijven en testen van bijvoorbeeld een Ransomware Business Continuity Plan, het uitvoeren van cybersecurity awareness trainingen, en ook de risicoanalyse, beveiliging van informatiesystemen en incidentenbehandeling vallen hieronder.