Onder dit mom volgt CGI de ontwikkelingen op het gebied van NIS2 op de voet, in zowel Nederland, België als Duitsland. Zo heeft het Belgische Centrum voor Cybersecurity (CCB) reeds een framework gepubliceerd met concrete en praktische veiligheidsdoelstellingen voor organisaties. Later dit jaar komt er een platform om het aanbod van adviezen en dreigingsinformatie vanuit het CCB te stroomlijnen.
In Nederland heeft het Nationaal Cyber Security Centrum (NCSC) basismaatregelen gepubliceerd om organisaties te helpen beschermen tegen cyberaanvallen. Recentelijk is ook een tool geïntroduceerd waarmee organisaties kunnen verifiëren of ze onder de NIS2-richtlijn vallen en, zo ja, of ze als essentieel of belangrijk worden beschouwd.
In deze blog zal ik dieper ingaan op wat we kunnen leren van deze instrumenten en welke informatie we tot dusver hebben, elf maanden na de publicatie van de NIS2-richtlijn door de Europese Commissie.
Update over de NIS2 in Nederland
Sinds mijn laatste NIS2 blog zijn er op verschillende vlakken significante veranderingen opgetreden en zijn er nieuwe informatie en updates beschikbaar gekomen. Deze ontwikkelingen werpen een nieuw licht op wat de Nederlandse overheid als cruciaal beschouwt om te voldoen aan NIS2. De internetconsultatie van de Nederlandse overheid over dit onderwerp heeft nog niet plaatsgevonden, maar staat nu gepland voor begin 2024.
Het is van belang dat organisaties passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen (IT en OT diensten) te beheren. ‘Passend’ houdt kortgezegd in dat de entiteiten een risicoanalyse moeten uitvoeren en op basis hiervan de risico’s moeten mitigeren en aanpakken. ‘Evenredig’ gaat om de proportionaliteit van de maatregelen tot risico’s. De Nederlandse overheid heeft aangegeven dat zij van plan is deze aanpak te gebruiken bij het uitvoeren van het toezicht.
Het Digital Trust Center (DTC) heeft een vierstappenplan gemaakt voor een risicoanalyse:
- Bepaal wat je wil beschermen
- Identificeer de risico’s en maak scenario’s, bijvoorbeeld voor Ransomware of een datalek
- Analyseer de gevonden risico’s, bereken het risico (kans x impact) en bepaal wat aanvaardbaar is.
- Besluit wat je gaat doen, accepteren van het risico, oplossen door het beperken en uitsluiten van het risico, overdragen van het risico naar, bijvoorbeeld, de verzekering, of stoppen met de activiteit omdat het risico te groot is.
Uit een webinar van Economische Zaken en Klimaat (EZK) blijkt dat ‘cybersecurity een randvoorwaarde voor beleidsvorming wordt’ en dat er een grote verandering gaat plaatsvinden op het gebied van de keten, want een ‘cyberweerbare keten is zo sterk als de zwakste schakel’. Volgens de interpretatie van de Nederlandse overheid moeten organisaties die onder NIS2 vallen ervoor zorgen dat de beveiliging van hun toeleveringsketen, met betrekking tot netwerk- en informatiesystemen, wordt gewaarborgd. Dit geldt voor directe leveranciers. De keten wordt niet individueel gecontroleerd, maar er dienen afspraken te worden gemaakt over, bijvoorbeeld, de beveiliging en producten. Lagere Nederlandse wetgeving (een AMvB) zal hier de concrete maatregelen voor gaan uitwerken en voorschrijven.
Verder adviseert zowel de NIS2 als de Nederlandse overheid om standaarden te gebruiken, gezien deze bewezen effectieve maatregelen bevatten.
De Nederlandse overheid heeft aangekondigd dat ze zich zullen beperken tot het implementeren van wat de NIS2-richtlijn momenteel voorschrijft. Dit houdt in dat de focus zal liggen op de tien risicobeheersmaatregelen (zorgplicht), de verplichting tot melding (meldplicht) en toezicht.
Status van de NIS2 in België
België heeft voorgesteld om naast de bestaande verplichtingen onder NIS2 een derde (sub-) entiteitstype toe te voegen, naast 'Essentieel' en 'Belangrijk': 'Vitale' entiteiten maken deel uit van de categorie 'Essentieel'. Hieronder vallen alle entiteiten die eerder al zijn aangewezen onder NIS1, en ook die entiteiten die onder de CER (Critical Entities Resilience) richtlijn vallen, die zich richt op fysieke weerbaarheid. Bovendien heeft België besloten om de verantwoordelijkheden onder NIS2 te verdelen tussen het Belgische Centrum voor Cybersecurity (CCB) en acht sectorspecifieke autoriteiten. Verder geeft België prioriteit aan drie onderdelen:
- Governance: Het hoogste management keurt de implementatie van maatregelen goed, houdt toezicht en draagt verantwoordelijkheid voor eventuele niet-naleving. Het management volgt regelmatige basistrainingen hierover in het kader van de aansprakelijkheid.
- Maatregelen voor risicobeheer op het gebied van cyberbeveiliging: : Geschikte en evenredige technische en organisatorische maatregelen, aangepast aan de huidige stand van de technologie en de kosten, dienen te worden genomen om de veiligheidsrisico's van de netwerk- en informatiesystemen te beheren.
- Gecoördineerd beleid voor openbaarmaking van kwetsbaarheden: Het coördineren van kwetsbaarheidsmeldingen en het opzetten van een Europese kwetsbaarheidsdatabase wordt als belangrijk geacht.
Het Belgische Cyberfundamentals Framework
Het CCB heeft het Cyberfundamentals Framework (‘CyFun’) uitgebracht om organisaties te begeleiden bij de voorbereiding op NIS2 door middel van een reeks concrete maatregelen. Dit framework fungeert als een instrument om gegevens te beschermen, het risico van veelvoorkomende cyberaanvallen aanzienlijk te verminderen en de cyberweerbaarheid van een organisatie te versterken.
Het CyFun maakt onderscheid tussen drie veiligheidsniveaus: Basis, Belangrijk en Essentieel. Deze veiligheidsniveaus zijn te vergelijken met de Security Levels in de IEC 62443 standaard:
| CyFun veiligheidsniveau | IEC 62443 Security Level |
|---|---|
| Basis: Bevat de standaardmaatregelen voor informatiebeveiliging voor alle ondernemingen. Deze bieden een effectieve beveiligingswaarde met technologie en processen die over het algemeen al beschikbaar zijn. | Level 1: Beschermt tegen accidentele, menselijke fouten |
| Level 2: Beschermt tegen opzettelijke aanvallen met eenvoudige methoden, weinig middelen, algemene vaardigheden en geringe motivatie | |
| Belangrijk: Richt zich naast bekende cyberbeveiligingsrisico's, ook op het minimaliseren van de risico's van gerichte cyberaanvallen door actoren met alledaagse vaardigheden en middelen. | Level 3: Beschermt tegen opzettelijke aanvallen met geavanceerde methoden, redelijke middelen, specifieke vaardigheden en bescheiden motivatie. |
| Essentieel: Dient om het risico op geavanceerde cyberaanvallen door actoren met uitgebreide vaardigheden en middelen af te dekken. | Level 4: Beschermt tegen opzettelijke aanvallen met geavanceerde methoden, uitgebreide middelen, specifieke vaardigheden en hoge motivatie. |
De benaming van de CyFun veiligheidsniveaus is enigszins verwarrend, aangezien de termen “Belangrijk” en “Essentieel” binnen NIS2 ook wordt gebruikt om entiteiten aan te duiden. Naast het CyFun heeft het CCB ook een tool gemaakt voor risicobeoordeling, zodat een onderbouwde keuze van veiligheidsniveau kan worden gemaakt, waarop de organisatie zich wil beschermen.
CyFun is gebaseerd op vier veelgebruikte standaarden, waarbij OT cybersecurity een prominente rol speelt:
- IEC 62443 (OT cybersecurity)
- NIST Cyber Security Framework
- ISO 27001/2 (IT cybersecurity)
- CIS Critical Security Controls
Vanuit het NIST framework gebruikt CyFun de fasering van cybersecuritymaatregelen: Identify, Protect, Detect, Respond en Recover, die worden geëvalueerd op twee volwassenheidsniveaus:
- Beleidsvolwassenheid: Beoordeelt in hoeverre de geschreven regels en procedures voldoen aan de eisen van het framework en het gekozen veiligheidsniveau (ontwerpeffectiviteit).
- Implementatievolwassenheid: Beoordeelt of en hoe deze regels en procedures worden uitgevoerd en opgevolgd (operationele effectiviteit).
De manier van meten van het volwassenheidsniveau binnen CyFun vindt plaats op een schaal van 1 tot 5, waarbij 1 staat voor “niet compliant”, en 5 voor “volledig compliant”. Met behulp van de hieruit volgende scores kan eenvoudig worden vastgesteld binnen welke gebieden, categorieën of fases er verbetering moet plaatsvinden.
De combinatie van OT- en IT-maatregelen binnen CyFun geeft een goede basis en startpunt voor het compliant worden aan NIS2.
Concrete actiepunten om cybersecurity nu te verbeteren
Het implementeren van cybersecuritymaatregelen zou eigenlijk moeten voortkomen uit intrinsieke motivatie; het is belangrijk dat organisaties er nu mee beginnen. De bescherming van assets moet overeenkomen met de risico’s die zijn geïdentificeerd. Voorbeelden van acties zijn:
| Actie | Toelichting | |
|---|---|---|
| A. | Creëer bewustzijn en cyberhygiëne over de gehele organisatie | Zorg voor organisatiebreed bewustzijn van cyberrisico's. Verhoog dit bewustzijn door middel van training, voorlichting, (phishing)campagnes en de personeelsgids. Integreer beveiliging in het sollicitatieproces. |
| B. | Betrokkenheid van het bestuur | De bestuursorganen of leidinggevenden moeten de maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren en toezien op de uitvoering hiervan. Bedenk dat management aansprakelijk kan worden gesteld voor cyberincidenten. Begin met het opleiden van management en interne auditors; breng kennis, vaardigheden en competenties bij. |
| C. | Risicoanalyse | Voer een risicoanalyse uit om de grootste risico’s voor de bedrijfsvoering te identificeren. Een risicoanalyse helpt bij het identificeren van dreigingen, het beschermen van belangrijke assets, maar ook bij het vaststellen van het ‘risk appetite’ van de organisatie. |
| D. | Securitybeleid en procedures | Controleer bestaand beleid voor informatiebeveiliging, inclusief evaluatie van de getroffen cybersecuritymaatregelen. Implementeer een informatieclassificatieschema en zet een Cyber Security Management System (CSMS) op. Een effectief risicomanagementproces omvat regelmatige analyses, duidelijke maatregelen en verantwoordelijkheden, en integratie van risicomanagement in de bedrijfscultuur. |
| E. | Incidentafhandeling, inclusief de behandeling en openbaarmaking van kwetsbaarheden | Maak een standaardprocedure voor het afhandelen van incidenten. Zorg dat de juiste personen hierbij betrokken zijn en dat de benodigde informatie wordt verzameld, bijvoorbeeld door event logging en monitoring. Probeer dit zoveel mogelijk te automatiseren, inclusief de integratie van dreigingsinformatie van buitenaf. |
| F. | Bedrijfscontinuïteit en crisismanagement | Stel een business continuity plan (BCP) op waarin handmatige workarounds voor de belangrijkste systemen zijn opgenomen. Maak disaster recovery plannen voor deze systemen en test deze regelmatig. Voer jaarlijkse crisismanagementoefeningen uit om te controleren of de informatie in het BCP nog klopt, en om de bewustwording bij management te vergroten. |
| G. | Beveiliging van de toeleveringsketen (directe leveranciers) | Bekijk welke afspraken er zijn gemaakt op het gebied van cybersecurity met leveranciers. Controleer bijvoorbeeld de service level agreements (SLA’s) en ga na of cybersecurity hierin wordt benoemd. |
| H. | Beveiliging bij de verwerving, ontwikkeling en het onderhoud van netwerken en informatiesystemen | Centraliseer aankoop van hardware en software. Implementeer patchmanagement voor systemen, inclusief webbrowsers en plug-ins. Beheer kwetsbaarheden en implementeer een intrusion detection system (IDS). Beveilig netwerken door middel van hardening en segmentatie. |
| I. | Identiteits- en toegangscontrolebeleid en activabeheer | Implementeer strikte beleidsmaatregelen voor personeelsidentificatie, toegangscontrole en activabeheer. Gebruik software om activa te registreren, beheren en beveiligen, inclusief locatie- en gebruiksinformatie. Implementeer multi-factor authenticatie (MFA) voor internettoegang en beheeraccounts om de identiteits- en toegangscontrole te versterken. Versleutel bedrijfsinformatie, inclusief harde schijven, apparaten en cloud- of serveropslag, om gegevens te beveiligen bij verlies of diefstal. |
| J. | Back-up beleid | Een back-up beleid is essentieel om de organisatie te beschermen tegen dataverlies. In een back-up beleid worden eisen vastgelegd voor het bewaren en beschermen van data op basis van de risicoanalyse. |
CGI beschikt over deskundigen op zowel het gebied van IT als OT. Wij staan klaar om u de juiste hulp en perspectieven te bieden. Aarzel niet om contact op te nemen met onze experts als u assistentie nodig heeft bij de implementatie van de NIS2 maatregelen of als u verdere vragen heeft.
Over de auteur
Emma de Boer
Cybersecurity consultant
Emma is begin 2023 begonnen bij CGI als cybersecurity consultant binnen de Smart Logistics Unit. Zij houdt zich voornamelijk bezig met Security en Compliance assessments, Disaster Recovery en Business Continuity Planning bij klanten en verdiept zich daarnaast in de nieuwe cybersecurity wetgeving NIS2. ...
