Auteur: Tim Fitters - IT Risk & Compliance Consultant Cyberus

Wat is NIS2 en waarvoor bestaat het?

Er is al redelijk veel geschreven over de nieuwe Network and Information Security Directive (NIS2) richtlijn. Dit kan ervoor zorgen dat je door de bomen het bos niet meer ziet. In deze blog leg ik uit wat de NIS2 richtlijn is en wat dit betekent voor jouw organisatie. NIS2 is in 2022 door ‘Europa’ in het leven geroepen als antwoord op diverse bedreigingen die de veiligheid van onze economie en maatschappij onder druk zetten, zoals toenemende cyberdreigingen, pandemieën (herinneren we ons COVID-19 nog?), gevolgen van klimaatverandering en de oorlog in Oekraïne. (Ministerie van Justitie en Veiligheid, 2024). Hierdoor zijn er nieuwe kwetsbaarheden ontstaan zoals:

• cyberaanvallen gericht op leveranciers, bijvoorbeeld voor het verstoren van logistieke processen.
• onveilige externe toegang, die door aanvallers misbruikt kunnen worden, doordat de beveiliging van andere partijen in de supplychain niet voldoende is.
• malware kan zich door de supplychain heen verspreiden.

De NIS2 moet ervoor zorgen dat Europese lidstaten beter beschermd zijn tegen cyberaanvallen en dat ze weerbaarder zijn tegen digitale, fysieke en economische bedreigingen. Hoe? De NIS2 gaat de weerbaarheid van Europese lidstaten vergroten door:

• De cybersecurity van organisaties in de EU verbeteren.
• De weerbaarheid van essentiële diensten en digitale infrastructuur verhogen;
• Het vertrouwen in de digitale economie vergroten.
• De ontwikkeling van de digitale markt in Europa te versterken (Europees parlement en de raad van de europese unie, 2022).

De NIS2 is overigens de opvolger van de eerste NIS-richtlijn, in Nederland ook wel bekend als de NIB, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) (Ministerie van Justitie en Veiligheid, 2024b).

Wie valt onder de NIS2-richtlijn?:

Afhankelijk van de sector en de omvang van een organisatie wordt bepaald of deze onder de NIS2-richtlijn valt, inclusief de Cyberbeveiligingswet. De omvang van een organisatie wordt vastgesteld aan de hand van twee criteria:

• Een organisatie wordt als 'groot' beschouwd als zij minstens 250 medewerkers heeft OF een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.
• Een organisatie wordt als 'middelgroot' beschouwd als zij minstens 50 medewerkers heeft OF een jaaromzet van meer dan 10 miljoen euro en een balanstotaal van meer dan 10 miljoen euro.

Vervolgens wordt op basis van de hieronder genoemde vermelde sectoren in bijlage I en 2 van de Cyberbeveiligingswet bepaald of een organisatie wordt geclassificeerd als een 'essentiële entiteit' of een 'belangrijke entiteit'(Ministerie van Justitie en Veiligheid, 2024c).

Zeer kritieke sectoren bijlage 1

Andere kritieke sectoren bijlage 2

• Energie
• Transport
• Bankwezen
• Infrastructuur financiële markt
• Gezondheidszorg
• Drinkwater
• Digitale infrastructuur
• Beheerders van ICT-diensten
• Afvalwater
• Overheidsdiensten
• Lokale overheden
• Ruimtevaart
• Digitale aanbieders
• Post- en koeriersdiensten
• Afvalstoffenbeheer
• Levensmiddelen
• Chemische stoffen
• Onderzoek
• Vervaardiging / manufacturing

(Ministerie van Justitie en Veiligheid, 2024c)
 

Ik val onder de criteria, wat betekent dit?

Als je onder de criteria van de NIS2 valt, heeft dit korte de volgende gevolgen voor je organisatie:

1. Je hebt een zorgplicht, dit betekent dat je zelf risicoanalyses moet uitvoeren en daar vervolgens passende maatregelen moet nemen om de organisatie te beschermen. Dit zou in principe niets nieuws moeten zijn, want dit dient elke organisatie te doen…
2. Je hebt een registratieplicht, dat betekent dat je jezelf dient in te schrijven in het entiteitenregister.
3. Je hebt een meldplicht, dit houdt in dat je ernstige incidenten binnen 24 uur moet melden bij de toezichthouder en bij het Computer Security Incident Response Team (CSIRT).
4. Je staat onder toezicht van een (onafhankelijke) toezichthouder om te controleren of dat je aan de verplichtingen voldoet. Want organisaties die niet voldoen aan de verplichtingen uit de richtlijn, kunnen sancties krijgen, zoals boetes of andere maatregelen (Digitale Overheid, 2024).

Wacht niet te lang en begin met voorbereiden!

Volgend jaar zullen bedrijven aan deze wet moeten voldoen, dus de tijd dringt! De voorbereidingen en het implementeren van de maatregelen kost namelijk tijd. Daarbij is de NIS2 in het leven geroepen om de digitale weerbaarheid van organisaties te vergroten, dus of je nu als bedrijf aan de NIS2 moet voldoen of niet, het is altijd goed om de NIS2 mee te nemen in je beveiligingsmaatregelen om zo de bedrijfscontinuïteit nog beter te waarborgen (Ministerie van Justitie en Veiligheid, 2024b).

Wat je nu al kunt doen ter voorbereiding op de NIS2 of om gewoon de digitale weerbaarheid van je organisatie te vergrootten:

1. Risico’s in kaart brengen:

Je begin met het in kaart brengen van je risico’s. Hierbij breng je de digitale en fysieke bedreigingen in kaart die impact kunnen hebben op jouw bedrijf en hoe groot de kans is dat dit voorvalt. Een risico kun je niet aanpakken als die niet is geïdentificeerd, dus we gaan de risico’s in kaart brengen. Hoe zou je dit kunnen doen? Er zijn verschillende manieren, maar voor deze blog behandelen we de volgende twee manieren.

a. Scenario’s: Bij deze manier werk je met verschillende scenario’s om te onderzoeken hoe bepaalde risico’s impact kunnen hebben op je organisatie en hoe groot deze impact zal zijn. Vervolgens kun je per risico maatregelen bedenken. Doe dit bijvoorbeeld door middel van een brainstormsessie.

b. Risicoanalyse, om een risicoanalyse te maken, volg je de volgende vier stappen:

1.    Je bepaalt wat je wilt beschermen en wat je ‘kroonjuwelen’ zijn, dus wat zijn de belangrijkste onderdelen van mijn organisatie. Bijvoorbeeld: klantgegevens, medewerkersgegevens, unieke ontwerpen, specifieke productiemethoden of processen, financiële gegevens of je reputatie.

2.    Je identificeert de risico’s. Je bepaalt de waarde van je ‘kroonjuwelen’ en welke risico’s ze lopen en hoe groot de kans is dat dit risico gebeurd. Je moet hierbij denken aan bijvoorbeeld de kwetsbaarheden van je systemen, gebouw, personeel. Dus wat als er brand uitbreekt, wat als een medewerker een fout maakt of in social engineering trapt. Zulke risico’s bespreek je binnen het bedrijf, want wellicht heb je iets over het hoofd gezien. Vraag hiervoor ervaren medewerkers of business managers om hun mening, kijk naar ervaringen uit het verleden wat zegt wet- en regelgeving erover. Natuurlijk kun je ook hulp aan ons vragen, we are happy to help.

3.    Analyseer de gevonden risico’s. Beoordeel de kans en de gevolgen van de gevonden risico’s. Zet deze in een matrix met op de verticale as: de kans dat het gebeurd en op de horizontale as de impact. Gebruik termen als ‘Laag’, ‘Medium’ of ‘Hoog’ om overzichtelijk de kans en gevolgen weer te geven. Je kunt ook cijfers en statistieken uit het verleden gebruiken om de risico’s te kwalificeren, echter vind ik de matrix manier fijner, aangezien dit gelijk een duidelijk overzicht van de risico’s geeft.

4.    Besluit wat je met de risico’s gaat doen. Neem hierbij besluiten op basis van de kans en gevolgen van de risico’s. Om deze reden vind ik een matrix fijner, aangezien je dan een overzicht hebt. Je gebruikt dan de matrix om passend met de risico om te gaan. De maatregelen zijn afhankelijk van je risk appetite en risk capaciteit, maar daarover in een andere blog meer. De volgende acties gebruik je om de risico’s te behandelen:

• Accepteren: Accepteer het risico bij kleine kans en kleine gevolgen.
• Mitigeren: Neem maatregelen om het risico te beperken, bijvoorbeeld, maak een back-up om verlies van bestanden te voorkomen.
• Overdragen: Schuif het risico naar een ander door een verzekering af te sluiten bij kleine kans en grote gevolgen (bijv. brandverzekering).
• Stoppen: Stop de risicovolle activiteiten bij grote kans en grote gevolgen (Stappenplan Risicoanalyse, z.d.).

1. Maatregelen nemen! De risico’s zijn in kaart gebracht en je hebt bepaald wat je gaat doen met de risico’s. Waarschijnlijk heb je er voor gekozen om bepaalde risico’s te mitigeren. Risico’s mitigeren kun je onder andere doen door:

• Beleidstukken, plannen en protocollen te schrijven voor verschillende situaties.
• Door meerdere toeleveranciers te identificeren, voorkom je supplier lock-in en kun je de continuïteit van je organisatie waarborgen als er een leverancier wegvalt.
• Awareness en training van personeel
• De basisprincipes van digitaal veilig ondernemen van het Digital Trust Center (DTC) implementeren. De vijf basisprincipes zijn:

1.   Inventariseer kwetsbaarheden: Analyseer de interne systemen en identificeer potentiële zwakke punten, inclusief afhankelijkheden van leveranciers. Dit helpt bij het opstellen van noodplannen en bij het prioriteren van beveiligingsmaatregelen.

2.   Kies veilige instellingen: Standaardinstellingen van apparatuur en software zijn vaak onveilig; pas deze direct aan om ongeautoriseerde toegang te voorkomen.

3.   Houd alles up-to-date: Installeer regelmatig updates voor alle verbonden apparaten en software om beveiligingslekken te dichten en bescherming tegen cyberdreigingen te waarborgen.

4.   Beheer toegangsrechten: Beperk toegang tot systemen en data tot wat strikt noodzakelijk is om het risico op ongeautoriseerde toegang te minimaliseren. Dit houdt in het classificeren en rubriceren van data onder het principe van least privilege waarvan gebruikers alleen strikt noodzakelijke toegang tot data krijgen. Toegangsrechten kunnen gebaseerd zijn op functie (rolebasedacces (RBAC)), afgeleid uit beleid (Mandatory Acces Control (MAC)) op basis van een set van claims (Claims Based Acces Control (CBAC)) of op basis van het eigen inzicht van de data-eigenaar (Discretionary Acces Control (DAC)), leg altijd wel goed vast waarom je iemand toegang tot bepaalde data geeft.

5.   Bescherm tegen malware: Neem maatregelen om systemen te beschermen tegen malware zoals virussen, ransomware en andere bedreigingen die schade kunnen veroorzaken of gegevens kunnen stelen. Dit zijn maatregelen zoals: multifactorauthenticatie (MFA), antivirus, antispamfiltering, endpoint detection and response (EDR) en regelmatige back-ups (De 5 Basisprincipes van Veilig Digitaal Ondernemen, z.d.).

Blijf de maatregelen continue monitoren en pas deze waar nodig aan om de effectiviteit te verhogen.

1. Incident response:

Last, but not least: bepaald hoe je gaat reageren op incidenten. Hiervoor stel je procedures op voor het detecteren, monitoren, oplossen en melden van incidenten. Zoals eerder gezegd heb je als je onder de NIS2 valt een meldingsplicht. Factoren die een incident meldingsplichtig maken, zijn bijvoorbeeld de duur van een incident of het aantal getroffen personen. Dit betreft een vroegtijdige melding binnen 24 uur en een uitgebreide melding binnen 72 bij bevoegde autoriteiten zoals het nationale computer security incident response teams (CSIRT’s) (Europees Parlement en de raad van de Europese Unie, 2022).

Of dat je nu meldingsplicht bent of niet. Het is als organisatie altijd goed om een incident response plan te hebben. Want een incident kan elk bedrijf overkomen. Een incident response dient volgens Shaked et al., 2023 en het Digital Trust Center (DTC) uit de volgende punten te bestaan:

1.    Voorbereiding

In deze fase bereid je je voor op mogelijke incidenten. Dit houdt in dat je een risicoanalyse maakt, een incident response plan en team opstelt en oefen je hoe je moet reageren op eventuele incidenten. Zoals je als bedrijf ook regelmatig brandoefeningen doet of BHV-oefeningen, oefen zo ook het incident response.

2.    Detectie en Analysefase

Dit is het begin van het incident response en beginnen de taken van het incident response team. Het detecteren van een fysiek incident zoals brand is geen rocketscience, maar ik geef toe dat het detecteren van cyberincidenten iets moeilijker is. Cyberincidenten kun je detecteren door bijvoorbeeld: signalen van ongebruikelijke netwerkactiviteit, verdachte logging of activiteiten, systeemfouten, traag netwerk of meldingen van medewerkers. Nadat het incident is gedetecteerd verzamelt en analyseert het incident response team zoveel mogelijk gegevens om te bepalen wat de ernst en de impact van het incident is. Het verzamelen van gegevens over een incident kan bijvoorbeeld door: het interviewen van betrokken medewerkers, betrokken systemen onderzoeken/uitlezen en de logging onderzoeken. Het analyseren van het incident is belangrijk voor het prioriteren van maatregelen.

3.    Containment en Eliminatiefase

Nu gaan je met actieve maatregelen ervoor zorgen dat je de situatie weer onder controle krijgt, dus het incident stoppen en de schade beperken. In het geval van een intruder, ga je die eruit gooien! Je gaat de schade beperken door de getroffen systemen of netwerken te isoleren om zo verdere verspreiding te voorkomen. Dit kunnen maatregelen zijn zoals: het uitschakelen van besmette systemen, blokkeren van netwerkverkeer of andere beveiligingsmaatregelen. Vervolgens ga je het incident stoppen door de bedreiging te elimineren. Dit is bijvoorbeeld het verwijderen van malware, het installeren van een patch of het herstellen van de systemen na een storing.

4.    Herstel

Nu de bedreiging geëlimineerd is, begint het herstelproces om zo snel mogelijk de bedrijfsactiviteiten te hervatten. Na het indammen en elimineren van de bedreiging begint het herstelproces om de bedrijfsactiviteiten zo snel mogelijk te hervatten. Dit omvat het terugzetten van gegevens vanuit back-ups, herinstalleren van software, herconfiguratie van systemen om normale functionaliteit weer te herstellen. Blijf na herstel wel de systemen monitoren om te controleren of het incident daadwerkelijk geëlimineerd is en te controleren op eventuele andere of verdere problemen. Communiceer vervolgens ook met de stakeholders over de situatie en de genomen maatregelen.

5.    Evalueren

Na het incident volgt een uitgebreide evaluatie om te begrijpen wat er gebeurd is, hoe dit gebeurd is en om lessen te leren voor toekomstige incidenten, zodat ze sneller opgelost of helemaal voorkomen kunnen worden. In deze fase beoordeel je ook de effectiviteit van het incident response plan en de genomen maatregelen. Wat ging er bijvoorbeeld goed en wat kon er beter? Deze evaluatie documenteer en de geleerde lessen kun je ook meenemen in de awarnesstrainingen.

Door deze gestructureerde aanpak kun je effectief en efficiënt reageren op incidenten, wat essentieel is voor het minimaliseren van schade, het beschermen van gegevens en het behouden van het vertrouwen van klanten en stakeholders (Incident Response Plan, z.d.).

Key take aways!

Nu ik een uitgebreid overzicht heb gegeven wat je kan doen om je voor te bereiden op de NIS2, zal ik de belangrijkste punten samenvatten. NIS2 is een EU-richtlijn uit 2022 die de cybersecurity en weerbaarheid van essentiële diensten en digitale infrastructuur wil verbeteren. Waarbij bedrijven die onder de NIS2 vallen: onder toezicht staan en een registratieplicht, meldplicht en zorgplicht hebben. De key take aways voor bedrijven die zich willen voorbereiden op de NIS2 of hun digitale weerbaarheid willen vergroten zijn:

·     Voer een risicoanalyse uit.

·     Maak een plan voor het mitigeren van de risico’s

·     Werk samen met andere organisaties om incidenten te voorkomen en te bestrijden

·     Bied je medewerkers (awareness) trainingen aan

·     Maak een incident response plan en test deze regelmatig

·     Implementeer de basisprincipes van het DTC

·     Implementeer de basismaatregelen, zoals encryptie, MFA, back-ups, EDR, antivirus en antispamfilter.

Door deze stappen te volgen, kan je organisatie zich beter voorbereiden op de nieuwe wetgeving en de digitale weerbaarheid vergroten. Veel succes met het implementeren van de genoemde maatregelen! Mocht je er niet uitkomen? Wij bij Cyberus staan altijd klaar om je te helpen!

References

·     De 5 basisprincipes van veilig digitaal ondernemen. (z.d.). Digital Trust Center (Min. Van EZK). https://www.digitaltrustcenter.nl/de-5-basisprincipes-van-veilig-digitaal-ondernemen

·     Digitale Overheid. (2024, 28 mei). NIS2-richtlijn NIS2-richtlijn - digitale overheid. https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/nis2-richtlijn/

·     EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE. (2022). RICHTLIJN (EU) 2022/2555 VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS 2-richtlijn) (Voor de EER relevante tekst). In Publicatieblad van de Europese Unie.

·     Incident response plan. (z.d.). Digital Trust Center (Min. Van EZK). https://www.digitaltrustcenter.nl/informatie-advies/incident-response-plan

·     Ministerie van Justitie en Veiligheid. (2024a, mei 17). CER- en NIS2-richtlijnen. Nationaal Coördinator Terrorismebestrijding en Veiligheid. https://www.nctv.nl/onderwerpen/cer--en-nis2-richtlijnen

·     Ministerie van Justitie en Veiligheid. (2024b, mei 17). CER- en NIS2-richtlijnen. Nationaal Coördinator Terrorismebestrijding en Veiligheid. https://www.nctv.nl/onderwerpen/cer--en-nis2-richtlijnen

·     Ministerie van Justitie en Veiligheid. (2024c, mei 24). Wat zijn de CER- en NIS2-richtlijnen? CER- en NIS2-richtlijnen | Nationaal Coördinator Terrorismebestrijding en Veiligheid. https://www.nctv.nl/onderwerpen/cer--en-nis2-richtlijnen/wat-zijn-de-cer-en-nis2-richtlijnen

·     Ministerie van Justitie en Veiligheid. (2024d, juni 10). Wat zijn de sectoren en criteria die bepalen of een organisatie onder de NIS2-richtlijn valt? CER- en NIS2-richtlijnen | Nationaal Coördinator Terrorismebestrijding en Veiligheid. https://www.nctv.nl/onderwerpen/cer--en-nis2-richtlijnen/wat-zijn-de-sectoren-en-criteria-die-bepalen-of-een-organisatie-onder-de-nis2-richtlijn-valt

·     Shaked, A., Cherdantseva, Y., Burnap, P., & Maynard, P. (2023). Operations-informed incident response playbooks. Computers & Security, 134, 103454. https://doi.org/10.1016/j.cose.2023.103454

·     Stappenplan risicoanalyse. (z.d.). Digital Trust Center (Min. Van EZK). https://www.digitaltrustcenter.nl/stappenplan-risicoanalyse