Wie gaat NIS2 implementeren bij bedrijven? Drie beveiligingsexperts delen hun mening en één ding is duidelijk: het zal niet eenvoudig zijn.
De NIS2-regelgeving komt eraan, en die zal de relatie tussen bedrijven en hun digitale beveiliging grondig door elkaar schudden. Tegen 17 oktober 2024 moet iedere EU-lidstaat en dus ook België de NIS2-richtlijn van Europa vertalen in nationale wetgeving. Nadat de concrete regels van kracht gaan, volgt er nog een korte overgangsperiode, maar in de zeer nabije toekomst zullen ondernemingen groot en klein in overeenstemming moeten zijn met de wet.
Niet extreem, maar ook niet niets
Dat is een goede zaak, zoals we al in een eerder stuk schreven. “De zaken die Europa met NIS2 verwacht, zijn niet echt extreem”, volgens Bart Van Vugt. De Senior Cyber Security Advisor bij Uptime Security schuift samen met drie andere beveiligingsexperts aan voor een rondetafelgesprek, opgezet door ITdaily.
De zaken mogen dan niet te extreem zijn, ook Van Vugt bevestigt dat de vereisten wel degelijk een flinke boterham zijn. Op de juiste manier risico’s definiëren en bescherming implementeren, is gemakkelijker gezegd dan gedaan. Dat merkt ook Thomas Hayen, Red Team Operator bij Easi. “Er zijn veel bedrijven die nu nog security debt aan het opbouwen zijn”, stelt hij vast. “Of soms is de wil er wel om de beveiliging te verbeteren, maar ontbreekt de kennis.”
Zelf doen is utopie
“Het tekort aan mensen is een gigantisch probleem”, bevestigt van Vugt. “Daardoor wordt het straks misschien moeilijk om de deadlines voor NIS2 te halen. Ik zie bedrijven die zeggen dat ze alles intern gaan uitbouwen, inclusief een SOC, maar die moet ik met de voetjes op de grond zetten. Dat gaat niet gebeuren.”
Er zijn veel bedrijven die nu nog security debt aan het opbouwen zijn.
Thomas Hayen, Red Team Operator Easi
Hij verduidelijkt: “Je hebt twee tot drie jaar nodig om zoiets op te bouwen. De tooling kost bovendien wat geld, maar dat is niet het grootste probleem. Waar ga je de mensen vinden die de juiste competenties hebben. Het profiel dat forensisch onderzoek en analyses gaat doen, is niet hetzelfde als het profiel dat vandaag Active Directory beheert.”
“Mensen kunnen natuurlijk de sprong maken naar een andere rol”, beseft hij. “Maar het type experts dat daartoe in staat is, is nog veel dunner gezaaid dan de al schaarse IT’ers.” Daar is volgens Van Vugt een belangrijke rol weggelegd voor beveiligingsorganisaties in België.
Samen sterk
Ron Nath Mukherjee, Cyber Security Consultant bij Eset, is het daarmee eens. “Vanuit de kant van de vendor moeten we allemaal aan hetzelfde zeel trekken. We hebben veel data over bedreigingen, en het zou mooi zijn die interoperabel te delen met oplossingen van andere bedrijven.” Die interoperabiliteit heeft een groot voordeel: wanneer beveiligingsoplossingen samenwerken, zijn er minder afzonderlijke dashboards en portalen met belangrijke info erop, en kan je efficiënter gebruik maken van de beschikbare mensen.
We moeten allemaal aan hetzelfde zeel trekken.
Ron Nath Mukherjee, Cyber Security Consultant Eset
Samenwerken kan ook op andere niveaus. Voor overheden zoals gemeentes laat Mukherjee bijvoorbeeld een ballonnetje op over de mogelijkheden van gedeelde security, met misschien wel een gedeelde SOC die alles in het oog houdt. Ook kleinere bedrijven kunnen zich zo organiseren, en detectie en monitoring voor een stuk uitbesteden naar externe partijen. Maar daarmee is het gebrek aan personeel niet plots opgelost.
Gebrek aan opleiding
Hayen: “Als je wil instappen in een SOC, dan is daar geen opleiding voor. HoWest heeft intussen een vrij goede cybersecurity-opleiding, maar zelfs wie daar afstudeert, heeft niet de competenties om te starten als pentester of SOC-analyst. Ze hebben vaak een basiskennis Windows en Linux OS, OWASP Top Tien opgedaan, samen met variërende kennis over andere zaken bij CTF’s, maar het onderscheidt maken tussen en false en true positive vereist niet alleen kennis maar ook interesse om op onderzoek uit te gaan. Wil je vandaag in een dergelijke job aan de slag, dan moet je zelf de skills opbouwen.”
lees ook
NIS2: redundante regelneverij, of broodnodige sprong richting een veilig Europa?
Hayen vindt het een beetje vreemd dat er nog geen opleidingen bestaan om het tekort aan mensen op te vangen. Dat ziet ook Van Vugt. “Binnen Uptime Security en ook de bredere Cronos-groep zien we dat veel securitybedrijven pas afgestudeerden binnenhalen en ze in een intern kennisbad steken om ze zelf klaar te stomen voor de praktijk.”
Meer dan kennis
“Misschien is er ook een mogelijkheid om mensen op hogere leeftijd om te scholen”, hoopt Mukherjee. “Die mensen kennen oudere technologieën. Ik vind het zo’n verspilling van talent om daar niets mee te doen.”
Het tekort aan mensen is een gigantisch probleem.
Bart Van Vugt, Senior Cyber Security Advisor Uptime Security
Hayen is akkoord, maar wijst op uitdagingen. “Security is toch ook een beetje een mindset. Systeemingenieurs hebben bijvoorbeeld de mindset om zo snel mogelijk iets te maken en te implementeren. Een MVP moet gehaald worden, en als de ontwikkelaars minder tijd hebben blijft security al te vaak liggen. Een beveiligingsingenieur heeft een andere mindset. Die vraagt zich eerst af hoe iets werkt en hoe veilig dat wel is. Zo iemand moet niet alleen de relevante technologie vanbuiten kennen, maar ook weten waar de relevante valkuilen zitten.”
Uitdagingen genoeg
Aan uitdagingen geen gebrek, en de oplossingen zijn schaars. Het is duidelijk dat er voor een goede implementatie van NIS2 geschoold talent nodig is met de juiste mindset, maar vandaag ontbreekt het in ons land zelfs aan de opleidingen die zo’n profielen opleveren. Er zijn mogelijkheden door zaken uit te besteden, maar zelfs dan lijkt het erop dat de grootste uitdaging voor de implementatie van NIS2 minder met technologie en meer met mensen te maken heeft.