NIS staat voor netwerk- en informatiesystemen. In Europa is nu nog de ‘NIS1 directive’ van kracht, een wet specifiek voor essentiële bedrijven, zoals water- en telecombedrijven. Ook de afhandeling van het scheepvaartverkeer van Havenbedrijf Rotterdam valt binnen deze richtlijn. Na stemming in het Europees Parlement wordt de richtlijn dit najaar gepubliceerd en kan deze voor medio 2024 worden omgezet in nationale wetgeving.
Uiteraard wacht 2Staff dat niet zonder voorbereiding af! Immers is de komst van de nieuwe NIS2-doorvertaling een gamechanger op drie gebieden:
NIS1
Onder NIS1 zijn aanbieders van essentiële diensten en digitale partijen door de overheid al aangewezen om maatregelen te nemen voor hun digitale veiligheid en om ernstige incidenten te melden.
Vanaf naar verwachting juli 2024 wordt het aantal sectoren en organisaties fors uitgebreid. De NIS2 moet dan namelijk onderdeel zijn van de Wet beveiliging netwerken en informatiesystemen (Wbni). De NIS is een richtlijn (op Europees niveau), maar wordt op landelijk niveau wel in de wetgeving verwerkt – en dat is doorgaans geen kort traject.
De NIS1, of beter gezegd de omzetting naar de Wbni, is van kracht sinds 2016, maar ‘al’ in 2020 werd er een aanpassing voorgesteld. We schrijven ‘al’ tussen aanhalingstekens, omdat slechts 4 jaar niet heel lang is voor politieke aanpassingen. Tegelijkertijd is 4 jaar in cyberland een zee van tijd. De digitalisering is een zeer dynamisch proces, en dat geldt ook voor toenemende dreigingen die daarmee hand in hand gaan. Een groot deel van de bedrijven in de haven valt nu nog niet onder Wbni. Daar is geen toezicht op, en zij hebben veelal geen toegang tot dreigingsinformatie.
NIS2
De beoogde aanpassing wordt nu werkelijkheid met de komst van de NIS2. Het doel van de NIS2 directive is het verhogen van de digitale veiligheid van vitale aanbieders in de EU, en samen naar een hoger gemeenschappelijk weerbaarheidsniveau. Het gaat tenslotte om de vitale infrastructuur van de samenleving en economie.
De herziene NIS2 kent twee categorieën: essentiële aanbieders en belangrijke aanbieders.
Bij de essentiële aanbieders, voornamelijk partijen uit Nederlandse vitale sectoren, is het toezicht straks proactief. De belangrijke aanbieders zijn voornamelijk (middel)grote partijen, waarbij verstoring geen zeer ernstige maatschappelijke of economische gevolgen zal hebben, maar waarbij ketenweerbaarheid uiteraard een belangrijk rol speelt.
Voorbeelden van essentiële entiteiten zijn elektriciteitsbedrijven, raffinaderijen, luchtvaartmaatschappijen, spoorwegbedrijven, kredietinstellingen, ziekenhuizen, drinkwaterbedrijven, aanbieders van cloudcomputingdiensten en datacenterdiensten. Voorbeelden van belangrijke entiteiten zijn aanbieders van postdiensten, afvalstoffenbeheerders, levensmiddelenbedrijven en ondernemingen die machines, transportmiddelen, elektronica of medische hulpmiddelen vervaardigen.
De grootte van een bedrijf is niet van doorslaggevende invloed op het antwoord op de vraag of de NIS2-richtlijn op dat bedrijf van toepassing is. Het gaat er ook niet om waar een bedrijf is gevestigd, maar waar de bedrijfsactiviteiten worden ontplooid.
Overigens is een consultatieronde onderdeel van het traject richting medio 2024. De aanwezigen op ons event hadden wel oren om daaraan deel te nemen, zeker als het leidt tot advies van uniform toezicht, maar ook om waar nodig input en sturing te kunnen geven.
Met ander woorden: (eind)verantwoordelijkheid voor cyberweerbaarheid, een plan van aanpak om de bedrijfscontinuïteit veilig te stellen, en toezicht op (en naleving van) de maatregelen. Bestuursorganen c.q. het bestuur van essentiële en belangrijke entiteiten moeten de genomen maatregelen op het gebied van risicobeheer goedkeuren. Maar ze zijn ook verantwoordelijk voor de eventuele niet-naleving van de verplichtingen. Om die reden moeten ze toezien op de naleving van de regels.
Denk bij dat laatste ook aan het juiste personeel dat op de juiste wijze geschoold moet zijn. Bestuurders komen niet meer weg met het gegeven dat ze niet betrokken zijn bij digitalisering, en cyber is allang geen verantwoordelijkheid meer van IT alleen.
Sterker nog, bij de cyberaanval op de Colonial Pipeline in de VS vorig jaar is dat bedrijf aangeklaagd voor de vervolgschade in de keten, terwijl de organisatie zélf slachtoffer was.
Er is nu geen jurisprudentie voor dat soort claims, maar er gaat zeker het nodige veranderen. Het laat bovendien nog maar eens zien hoe sterk de overlap is tussen fysiek en digitaal. Wat ons ook weer terugbrengt bij de A van accountability. Dat gaat over het nemen van voldoende maatregelen, én aantonen dat die maatregelen genomen zijn. Artikel 18 (Wbni) bevat de minimummaatregelen én de algemene verplichting om passende/evenredige technische en organisatorische maatregelen te nemen. Denk dan aan beleid en procedures (tests en audits) om de effectiviteit van maatregelen te beoordelen.
Business continuity gaat over alle stappen en maatregelen die bij onvoorziene omstandigheden worden gezet om continuïteit van de dienstverlening te waarborgen. Daar dient een plan voor te bestaan. Inventariseer kwetsbaarheden en mogelijke gevolgen – en hoe die kunnen worden opgevangen om continuïteit te waarborgen.
De lidstaten zien erop toe dat deze maatregelen zijn genomen of onverwijld worden genomen. Daarnaast wordt melding van incidenten bij CSIRT of bevoegde autoriteit een belangrijke pijler van de NIS2. Dat moet trapsgewijs een initiële vorm binnen 24 uur, met een volledige update binnen de eerste 72 uur. Aansluitend is ook het indienen van een eindverslag na 1 maand onderdeel van de nieuwe praktijk straks. Wat een incident dan exact is, wordt er vanuit het publiek gevraagd? Denk dan aan voorvallen met aanzienlijke/significante gevolgen, zoals operationele storingen & financiële verliezen voor de eigen entiteit of een andere entiteit.
Entiteiten moeten ‘passende en evenredige maatregelen nemen om de risico’s voor de beveiliging van hun netwerk en informatiesystemen die zij gebruiken voor hun werkzaamheden of voor het verlenen van hun dienst te beheersen.’ Deze maatregelen omvatten o.a. afhandeling van incidenten, bedrijfscontinuïteit en de beveiliging van toeleveringsketens (supply chain security) en zijn dus van toepassing op het ABC’tje.
CYRA, wat dus staat voor CYber RAting, is een onafhankelijk kader of framework voor informatiebeveiliging en privacymaatregelen, gebaseerd op bestaande internationale normen zoals ISO 27001 en 27701, maar dan vertaald naar begrijpelijke handvatten. Het is een maturity groeipad met handelingsperspectief voor de ondernemers, op dit moment gebaseerd op IT en privacy – aan OT wordt gewerkt.
Aanleiding voor CYRA is het kunnen bieden van structuur en inzicht in de weerbaarheid van de ketens. Ook is het een manier om op de NIS2 voor te sorteren, én zoals gezegd een opmaat naar ISO 27001. Die ISO-certificering is voor veel mkb’ers namelijk óf niet noodzakelijk, óf niet haalbaar. Cyberweerbaarheid verhogen kan daarom (ook) met de stappen van CYRA.
Groot voordeel van CYRA is dat toeleverende bedrijven straks maar met één normenkader te maken krijgen. Bedrijven in grote netwerken, en zeker in de Rotterdamse haven, kunnen zich in verschillende ketens en sectoren bevinden. Als CYRA breed door bedrijven wordt overgenomen, dan biedt dat – ook de kleinere – organisaties een mogelijkheid om aan één gedeeld kader of framework te werken, voor verschillende sectoren en klanten die straks onder de NIS-2 komen te vallen. Daarmee wordt de cyberveiligheid in zijn geheel verhoogd.
CYRA voor de ondernemer betekent inzicht en handelingsperspectief, kunnen werken aan cyberweerbaarheid en het zetten van een benchmark ten opzichte van de eigen sector.
Voor de keten betekent dat ondersteuning voor de continuïteit (vanuit cyberweerbaarheid) en met behulp van onze inzet (2Staff) vooruitlopen op wet- en regelgeving.
Neem contact met ons op via ons contact-formulier of bel geheel vrijblijvend naar: 030- 600 5000
2Staff B.V.
Europalaan 2
5232 BV 's-Hertogenbosch
T 030- 600 5000
F 030- 600 5001
E info@2staff.nl