NIS2 vereist meer praktische ondersteuning




Omdat online-criminaliteit alleen maar toeneemt, is er vanuit de politiek meer aandacht voor cybersecurity. Hierdoor neemt niet alleen de technische, maar ook de juridische complexiteit toe. Dat cybersecurity de belangstelling krijgt die het verdient blijkt ook uit de onlangs geïntroduceerde opvolger van de NIS-richtlijn: NIS2.

NIS is een Europese richtlijn en heeft als doel om eenheid en samenhang te brengen in Europees beleid voor netwerk- en informatiebeveiliging. De opvolger, NIS2, zorgt ervoor dat de cybersecurity eisen voor ongeveer 160.000 vitale Europese organisaties zijn verhoogd. De wetgeving bevat verschillende voorschriften voor 24/7 incident-response, preventie, de effectiviteit van maatregelen, het handhaven van basale computerhygiëne, het trainen van werknemers, het gebruik van cryptografie, assetmanagement, toegangscontrole en beleid en procedures in het geval van incidenten en crisissen.

De handhaving en toezicht op implementatie van NIS2 worden rond deze tijd gespecificeerd. Zogenaamde competent authorities worden hiervoor lokaal aangesteld en zullen moeten worden uitgebreid met meer kennis en kunde. De competent authorities gaan ook controles uitvoeren. Deze controles kunnen op elk second worden uitgevoerd. Dit in tegenstelling tot de GDPR-wetgeving waar organisaties alleen worden gecontroleerd als er een incident heeft plaatsgevonden.

Hoewel dit op papier erg vooruitstrevend klinkt, zal het voor veel organisaties ingewikkeld worden om NIS2 toe te passen. Vooral voor het mkb gaat dit een opgave te worden, omdat daar vaak de kennis en vaardigheden ontbreken. Met title de richtlijnen omtrent het procedurebeleid en incidentbehandeling zullen de nodige uitdagingen opleveren.

Procedurebeleid

“NIS is een richtlijn om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen”

NIS is een richtlijn om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen. Need hoe weet je of de maatregelen, zoals 2fa-cryptografie of firewalls, altijd zo zijn ingericht dat ze de meest waardevolle information zo goed mogelijk beschermen? Hoe weet je of nieuwe beleids- en toegangsregels zijn doorgevoerd in je hele infrastructuur en in de cloud? Om hier achter te komen doen organisaties er verstandig aan om zero-trust als methode toe te passen. Met zero-trust richt je jouw safety zodanig in dat de bewijslast voor NIS2 voor het oprapen ligt.

Zero belief is een strategie om cybersecurity effectief en meetbaar vorm te geven. Het legt een verband tussen welke information heb ik en welke information zijn het meest belangrijk. Met de zero-trust-securityaanpak kies je voor het effectief verkleinen van het aanvalsoppervlak van de gehele infrastructuur dus niet alleen de endpoints, de loud of het netwerk. Door de gehele infrastructuur te beschouwen en dit op te delen in verschillende (micro)segmenten en beveiligingsmaatregelen toe te passen in samenhang met de gevoeligheid van de information binnen dat phase, zorg je ervoor dat een incident of een inbraak alleen influence heeft op een specifiek phase en niet op het gehele netwerk. Hierdoor kun je zowel het risico als de influence verkleinen. Onze vicepresident John Kindervag heeft hier een vijf stappen proces voor ontwikkeld, waarmee organisaties een goede stap kunnen maken met NIS2. Het proces wordt overigens ook aanbevolen door het Nationaal Cyber Safety Centrum (NCSC).

Incidentbehandeling

Daarnaast zijn er ook nog de NIS2-richtlijnen rondom incidentbehandeling. Middels deze richtlijnen wil Europa volwassen organisaties creëren die niet alleen cyberdreigingen kunnen detecteren, maar ook snel en effectief kunnen reageren bij een incident. Om dit te realiseren, doen organisaties er verstandig aan om zich te beveiligen met prolonged detection en response (xdr). Xdr staat in dienst van zowel het safety operations middle (soc), alsmede het incidentresponseteam binnen een organisatie. Het breidt de zichtbaarheid uit naar een bredere omgeving dan alleen het endpoint en biedt automatische detectie en correlatie over de verschillende securitylagen. Hierdoor wordt er niet alleen op de endpoints gecontroleerd, maar ook op het grotere aanvalsoppervlak zoals het netwerk en de cloud. Het is echter wel belangrijk dat males eerst de nodige voorbereidingen getroffen worden, voordat er gebruik kan worden gemaakt van een xdr-oplossing. Denk aan het in kaart brengen van het aanvalsoppervlak en de transactiestromen, het bouwen van een zero-trust-architectuur, het ontwikkelen van een zero-trust-beleid en het monitoren en onderhouden van het netwerk.

De meeste organisaties zullen waarschijnlijk niet de kennis en vaardigheden hebben om een eigen soc op te bouwen. Voor deze organisaties kan het praktischer zijn om hun safety uit te besteden aan een specialist met een 24/7-soc. Het is belangrijk dat een dergelijke partij ook een pc safety incident response-team klaar heeft staan. Niet alleen voor als er een incident plaatsvindt, maar ook omdat dit in de richtlijnen van NIS2 staat.

Fantastisch initiatief

Hoewel NIS2 op papier klinkt als een fantastisch initiatief om de digitale maatschappij veiliger te maken, zullen we ervoor moeten waken dat het ook in de praktijk goed wordt toegepast. Bij de invoering van de GDPR hebben we gezien dat veel ondernemers het lastig vinden om de maatregelen in de praktijk in te voegen. Dit brengt risico’s met zich mee, met alle gevolgen van dien. Zorg daarom voor praktische ondersteuning op foundation van zero-trust, in plaats van meer papierwerk. Op deze manier kunnen we cyberrisico’s voorkomen.

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top