Een goede huisvader wacht niet op NIS2

De nieuwe NIS2-richtlijnen die Europa volgend jaar invoert hebben gevolgen voor een hele reeks bedrijven, van ziekenhuizen tot transport, schrijft Jan De Bondt, Head of Cybersecurity Advisory Services bij Orange Cyberdefense. Zij kunnen best nu al beginnen met het op orde brengen van hun cybersecurity.

Op 17 oktober 2024 moeten alle EU-lidstaten de nieuwe NIS2-richtlijnen in hun wetgeving hebben opgenomen. In België betekent dit voor meer dan tweeduizend bedrijven (en wellicht meer) dat ze klaar moeten zijn om aan strenge voorwaarden rond cybersecurity te voldoen. Hoewel de volledige implementatie nog veel voeten in de aarde zal hebben, zou het op bedrijfsniveau geen discussiepunt meer mogen zijn. Het is jammer dat er sancties moeten gekoppeld worden aan cybersecurity, terwijl dit in elke organisatie een vast onderdeel van een goed huishouden hoort te zijn.

NIS2 is de opvolger van het eerste NIS-kader dat in 2019 van kracht ging. Het is zowat het technische broertje van de GDPR die organisaties in Europa regels rond privacy heeft opgelegd. Maar terwijl die GDPR in de media en via communicatiecampagnes breed is uitgesmeerd, tasten bedrijven op het vlak van NIS toch veel meer in het duister. De originele wetgeving beperkte zich tot een klein aantal spelers die kritieke diensten leveren voor onze samenleving, zoals de financiële sector. Al gauw na de invoering begreep men dat de impact van zo’n regelgeving veel breder moet worden getrokken.

En er waren nog wel meer struikelblokken bij het eerste NIS-initiatief. Zo kregen de lidstaten bijzonder veel vrijheid om de richtlijnen te interpreteren en naar hun wetgeving te vertalen. België vond het destijds bijvoorbeeld niet nodig om de ziekenhuizen aan de reglementen te laten voldoen. Aangezien zorginstellingen overduidelijk een essentiële dienstverlener zijn en ze ook steeds vaker het doelwit worden van cybercriminelen, zullen zij hier in NIS2 gelukkig niet meer omheen kunnen.

Wie valt onder NIS2?

Dat NIS aan een upgrade toe is, blijkt uit de snelheid waarmee het aantal cyberaanvallen toeneemt en de impact die een incident op de samenleving heeft. Eind vorig jaar werd de stad Antwerpen nog door een ransomware-aanval getroffen. Het is dan ook het doel van NIS2 om organisaties weerbaarder te maken tegen cyberaanvallen met potentieel om hun volledige business lam te leggen. En daar kan toch geen enkel bedrijf iets op tegen hebben?

Het hoeft dus niet te verwonderen dat er heel wat extra sectoren en bedrijven onder NIS2 zullen vallen. Iedereen die zich met managed IT and managed IT security services bezighoudt, zal de richtlijnen moeten respecteren. Als je bijvoorbeeld met een SOC-team cyberaanvallen bij klanten probeert te detecteren, lever je een toch wel vrij essentiële dienst en is het uiteraard normaal dat je zelf ook de juiste maatregelen treft. Een andere nieuwkomer is de verwerking van afvalwater. Drinkwater was al in de eerste NIS opgenomen. En sinds de pandemie weten we dat ook goederen- en koeriersdiensten belangrijk kunnen zijn.

Daarnaast komen er aparte regels voor spelers die belangrijke diensten leveren, zoals de chemische industrie, alles rond voedselverwerking, digitale providers, manufacturing, enzovoort. En er komt ook meer nadruk op de toeleveringsketen. Bedrijven die aan NIS2 moeten voldoen, mogen van leveranciers immers evenzeer verwachten dat ze bepaalde cybersecuritymaatregelen treffen.

Van uitzetting uit ambt tot celstraf voor bestuurders

Er is best goed nagedacht over NIS2, waardoor het een betere basis vormt voor een wetgevend kader. Zo is er in vergelijking met z’n voorganger ook meer ruimte voor het toezien op het naleven van de regels. Bedrijven krijgen een meldingsplicht na een incident en moeten bewijzen dat ze er alles aan gedaan hebben om de aanval te vermijden. Het is ook mogelijk om proactief audits uit te voeren en daarvoor externe cybersecurityspecialisten in te schakelen, zodat niet alles op de schouders van één partij valt – in België zal het CCB (Centrum voor Cybersecurity België) verantwoordelijk zijn.

Dat CCB moet nog een pak lastige knopen ontwarren vooraleer NIS2 officieel kan worden ingevoerd. Maar het is wel al duidelijk dat iedereen zich maar beter kan aanpassen. De sancties zullen niet min zijn. Onder de NIS1 – die nu nog van toepassing is – riskeren bestuurders bij onverantwoorde praktijken een celstraf tot twee jaar.  En natuurlijk mogen we ook de boetes voor een overtreding niet onderschatten. Zo kunnen de boetes oplopen tot 10 miljoen € of 2% van de wereldwijde omzet (hoogste bedrag komt in aanmerking).

Hoe bereid je je voor op NIS2?

Wacht dus zeker niet tot oktober 2024, maar begin nu al met het doorvoeren van maatregelen op het gebied van cybersecurity. Enerzijds omdat het in je eigen belang is, maar ook omdat het steeds lastiger zal worden om externe professionals in te schakelen. De arbeidsmarkt was al zwaar belast en door de nieuwe richtlijnen zullen vraag en aanbod nog verder uit elkaar komen te liggen.

Gelukkig hoeft het niet moeilijk te zijn om voor een goede cyberhygiëne te zorgen. Begin klein en laat je security geleidelijk uitbreiden zoals een olievlek. Dit zijn dingen waar je nu alvast over moet nadenken:

Incidentbeheer: zorg dat je in staat bent om een incident of anomalie te detecteren en dat je weet wat er moet gebeuren. In veel organisaties is er geen procedure of is niemand ervan op de hoogte.

Incident notificatie: ga na of je in staat bent om bewijsmateriaal na een incident op een goede manier te bewaren en over te dragen aan de verantwoordelijke autoriteiten.

Businesscontinuïteit: om de juiste acties te ondernemen, moet je de impact van incidenten op de bedrijfsvoering kunnen inschatten. Hoe gevaarlijk is het als een proces onderbroken wordt? En hoe lang kan je het volhouden vooraleer de business en je gebruikers eronder lijden? Op basis van die info kan je beslissingen nemen over recovery en back-up op maat van jouw organisatie.

Assetmanagement: wat je niet kent, kan je onmogelijk beschermen. Maak een overzicht van het materiaal dat in de organisatie wordt gebruikt. Hou in fabrieksomgevingen ook rekening met OT.

Access controle: wie heeft toegang tot welk systeem of welke data? Zeker als je met externe partijen werkt, moet je dit goed in kaart brengen en monitoren.

Security awareness: het grootste risico zit tussen het keyboard en het scherm. Voorzie daarom zeker een opleidingsprogramma dat je mensen – ook het topmanagement – bewust maakt van de gevaren, zodat ze weten hoe zij actief kunnen bijdragen om de weerbaarheid van de organisatie te vergroten.

Al deze elementen zijn echter géén rocket science  en zouden eigenlijk al in elke organisatie ingebakken moeten zitten. En als je dit goed aanpakt, ben je al een flink eind op weg om compliant te worden met NIS2.