Binnenkort moeten organisaties in Europa zich houden aan nieuwe regelgeving rond cyberbeveiliging, of de gevolgen dragen. Met de NIS2-richtlijn wil de EU het cyberpostuur van bedrijven reguleren. ITdaily zet vier beveiligingsexperts rond de tafel om te praten over het opzet en de impact van de regels.
Tegen 17 oktober 2024 moet ons land, net als alle andere EU-lidstaten, de NIS2-richtlijn van Europa vertalen in nationale wetgeving. “NIS2 is uitgewerkt op Europees niveau en heeft als doel de cyberweerbaarheid van organisaties te verbeteren”, zegt Bart Van Vugt, Senior Cyber Security Advisor bij Uptime Security.
Van Vugt schuift op uitnodiging van ITdaily mee rond de tafel met drie andere beveiligingsexperts: Ron Nath Mukherjee, die als Cyber Security Consultant bij Eset de kant van de vendor vertegenwoordigt, Red Team Operator Thomas Hayen van Easi, die z’n brood verdient door als pentester (digitaal) binnen te breken bij bedrijven en Pelle Aardewerk, Cyber Security Consultancy Lead bij HP.
Van magje naar moetje
“NIS2 is een heel goede evolutie, komende van NIS1”, vindt Hayen. “De eerste regelgeving was eerder een magje, NIS2 wordt een moetje. Er wordt veel meer ingespeeld op wat er gebeurt wanneer je de regels niet volgt. Zelfs het management van een bedrijf kan verantwoordelijk worden gehouden. Hoewel ik niet noodzakelijk voorstander ben van boetes, kunnen ze oplopen tot miljoenen euro’s. Dat kan een wake-up call zijn voor bedrijven die onder de regels zullen vallen, en nu constateren dat ze in de problemen kunnen komen indien ze bepaalde zaken niet implementeren.”
De eerste regelgeving was eerder een magje, NIS2 wordt een moetje.
Thomas Hayen, Red Team Operator Easi
Ook Mukherjee is blij met de aankomende regels. Eset speelt een belangrijke rol bij de digitale verdediging van Oekraïne, en dat is volgens hem tekenend voor de wereld waarin we vandaag leven. “De geopolitieke factor in aanvallen wordt almaar belangrijker”, zegt hij. “Grote en kleine organisaties kunnen gevoelige data hebben. De cyberweerbaarheid van Europa moet omhoog en NIS2 kan dat bewustzijn mee laten groeien.”
De geopolitieke factor in aanvallen wordt almaar belangrijker.
Ron Nath Mukherjee, Cyber Security Consultant Eset
Aardewerk beaamt. “We leven in een cyberoorlog, al hebben we dat soms nog niet helemaal door. Aanvallers richten zich op kritieke infrastructuur want daar doet het echt pijn.” Hij wijst naar alle afhankelijkheden die we vandaag hebben in ons land en de hele EU.
Slagkracht
NIS2 lijkt dus gelegen te komen maar toch zijn er nog wat vragen. “NIS2 komt met boetes en een meldingsplicht bij incidenten, net als GDPR”, stelt Mukherjee vast. “De implementatie lijkt daar toch niet zo goed gelukt.” Hij merkt dat de doeltreffendheid van de GDPR beperkt is en vaak dode letter blijft. “Verder heeft de EU een geschiedenis van uitgebreide regelgeving, bijvoorbeeld in de financiële sector, die bedrijven kan afschrikken.”
Volgens Van Vugt zijn de kaarten voor NIS2 gelukkig anders geschud. “GDPR vereiste ook compliancy”, weet hij, “maar je werd niet geauditeerd. Dat is nu anders, zeker bij de essentiële entiteiten.” Daarmee verwijst hij naar de belangrijkste organisaties die NIS2 het scherpst wil reguleren, omdat een impact van een aanval bij hen het grootst is. Denk bijvoorbeeld aan nutsvoorzieningsbedrijven. “Deze organisaties gaan echt auditeurs over de vloer krijgen.”
Van honderden naar duizenden bedrijven
Van Vugt merkt wel dat de vooropgestelde impact van die audits nog wat beperkt is, omdat ze enkel de essentiële en niet de belangrijke bedrijven betreft. “Hopelijk wordt dat nog wat uitgebreid.” Mukherjee beaamt. “In België gaat het om zo’n 600 bedrijven. Gelukkig worden toeleveranciers ook verantwoordelijk geacht, waardoor er toch al snel 3.500 tot 4.000 organisaties in het vizier van NIS2 komen.”
Hayen: “Ik denk inderdaad dat er meer ingespeeld gaat worden op de toeleveringsketen dan op de bedrijven zelf. Criminelen kiezen immers de weg van de laagste weerstand. Organisaties zullen meer verantwoordelijk worden gehouden.”
“Bedrijven worden meer gedwongen”, ziet ook Aardewerk. “Iedereen is ontzettend bang voor een aanval via de toeleveringsketen en dat zie je ook in de regelgeving. Wij spraken zelf al met een organisatie die aangaf dat ze binnenkort aan ons zou vragen of we in overeenstemming zijn met de regels. Ze gaan dat aan alle leveranciers vragen. Dat is een goede zaak, want zo breng je in kaart wat de gezamenlijke situatie is.”
Onafhankelijke beoordelingen door derde partijen zullen ongetwijfeld van alles aan het licht brengen.
Pelle Aardewerk, Cyber Security Consultancy Lead HP
Aardewerk hoopt dat audits hun vruchten zullen afwerpen. “Onafhankelijke beoordelingen door derde partijen zullen ongetwijfeld van alles aan het licht brengen. Ik denk dat er zo een heel grote verbetercyclus op gang zal komen.”
Té veel regels?
Het lijkt er in ieder geval op dat NIS2 toch wat meer slagkracht zal hebben dan de GDPR. Wat dan met de regelneverij? Treedt de EU zijn boekje niet te buiten?
Van Vugt denkt van niet. “De zaken die Europa met NIS2 verwacht, zijn niet echt extreem. Het is niet weinig, maar blijft wel behapbaar en concreet. Het Cyber Fundamentals Framework, gebaseerd op het NIST-cybersecurity framework, is niet overdreven.”
De zaken die Europa met NIS2 verwacht, zijn niet echt extreem.
Bart Van Vugt, Senior Cyber Security Advisor Uptime Security
Hij verwijst naar het Amerikaanse raamwerk dat beveiliging opdeelt in vijf pijlers: Identificeer, bescherm, detecteer, reageer en herstel. Bovendien vertrekt de regelgeving vanuit de risico’s van een bedrijf. Als de voordeur openstaat, maar daarmee komen geen kritieke assets in het gedrang en je neemt er vrede mee, dan is dat ok. Je moet er natuurlijk wel goed over nadenken.”
Denk eens na
“Risk, governance en compliance zijn belangrijke componenten”, zegt Mukherjee. “NIS2 gaat niet alleen over het technische aspect, maar ook het framework dat een bedrijf gaat opzetten, en hoe dat moet werken binnen de cultuur van een bedrijf.” Ook Hayen is akkoord. “De topics die NIS2 aanhaalt zijn vrij gemakkelijk te implementeren.”
De experten vinden het een goede zaak dat NIS2 vertrekt vanuit risicoanalyses en niet vanuit een technisch verhaal. Daar hebben bedrijven vaak nog heel wat te leren. Van Vugt: “Te veel organisaties installeren nog een antivirus en een firewall en tak, ze denken dat ze veilig zijn. Die oplossingen zijn allemaal goed en wel, maar waar zitten je kritieke businessprocessen? Welke assets zijn daar mee verbonden? Welke maatregelen ga je implementeren om je risico te verlagen?”
“De eerste stap is inderdaad nadenken over wat echt kritisch is”, beaamt Aardewerk. “Zo werd een grote oliemaatschappij in het Midden-Oosten slachtoffer van een ransomware-aanval. 30.000 devices werden besmet, maar toch draaide de productie door. Die productie is kritiek, dus zat er een hele goede scheiding tussen het IT en het OT-netwerk. Weet wat kritisch is, en zorg voor een goede isolatie.”
Nu is een goed moment
Het zal nog even duren voor NIS2 echt van kracht is. 17 oktober 2024 is de deadline voor de omzetting van de richtlijn naar nationale wetgeving, maar die wetgeving zal ook nog met overgangsperiodes werken. Reken echter niet op al te veel marge. Van Vugt: “De details moeten nog uitgewerkt worden, maar de grote lijnen liggen al vast. Daar kan je best nu al mee beginnen, anders zal het misschien moeilijk worden om de toekomstige deadlines te halen.”