2Staff


 

Neem contact met ons op

NIS2

In welke branche bent u werkzaam?
Vul vrijblijvend ons contactformulier in.... 

15-11-2024 Geld speelt geen rol meer in informatiebeveiliging, dankzij NIS2 en DORA
Cybersecurity krijgt flinke veranderingen, dankzij EU-richtlijn NIS2 / NORA en de implementatie daarvan in Nederlandse wetgeving. Naast eisen voor cyberveiligheid komen daarin namelijk ook ‘aanpalende’ zaken als supplychainsecurity en aansprakelijkheid. Impactvolle veranderingen, waar brancheorganisaties al alarm over hebben geslagen. Daar ziet directeur Marcel Reugebrink van 2Staff Masters in Security Operations een positieve budgetontwikkeling in, namelijk net zoals bij een ransomware-incident.
 

Marcel Reugebrink 

Marcel ReugebrinkAlgemeen Directeur en CISO van 2Staff, Masters in Security Operations.

 

In het artikel op AG Connect dat brancheorganisaties alarm slaan over nieuwe eisen cyberveiligheid van NIS2 staat dat duizenden bedrijven al binnen enkele maanden belangrijke klanten en omzet kwijt dreigen te raken. Dit omdat ze nog niet bekend zijn met nieuwe Europese eisen op het gebied van cybersecurity. Daarvoor waarschuwen 63 branche- en koepelorganisaties, waaronder MKB-Nederland, Techniek Nederland, Transport en Logistiek Nederland, Bouwend Nederland en Bovag.

In oktober is de Network- and Information Security-richtlijn (NIS2) officieel van kracht geworden. Bedrijven die onder deze nieuwe Europese richtlijn vallen, zijn dan niet alleen verantwoordelijk voor hun eigen digitale veiligheid maar ook voor die van hun gehele toeleveranciersketen. Bestuurders kunnen zelfs persoonlijk aansprakelijk gesteld worden als ze op dit gebied nalatig zijn geweest.

 

Ineens flink gevuld potje

Dit bracht me op een praktijkvoorbeeld van de afgelopen jaren waarin CISO's moesten smeken om budget bij de bestuurders. We kennen allemaal wel het bekende plaatje van het bijna lege budgetpotje voor security dat bij een ransomwareaanval ineens flink voller wordt. Ik heb deze rake illustratie maar eens aangepast aan een nieuwe versie. vraa gerust naar het plaatje.

In het verleden (lees tot 2023) was het bijna altijd smeken om budget en werd informatiebeveiliging gezien als kostenpost. Dat wordt nu heel anders.
De CISO zit in 2024 in een geheel andere positie. Je hoeft als CISO niet meer te smeken om budget bij de bestuurder. We gaan nu te horen krijgen: “Maakt niet uit wat het kost, regel het!”
En waarom krijgen wij dit te horen? Heel simpel. Door veranderende Europese wetgevingen , denk aan NIS2, is het zo dat het bestuur de risicobeheermaatregelen op het gebied van cyberbeveiliging dient goed te keuren maar óók toezicht moet houden op de implementatie daarvan. Het bestuur, bij NIS2 het bestuur van essentiële entiteiten, kan nu persoonlijk aansprakelijk gesteld worden voor de schending van hun verplichting om de naleving van de richtlijn te waarborgen. Dit kan niet gedelegeerd of uitbesteed worden.

CISO in een gouden kooi

Vooral dat laatste brengt je als CISO in een gouden kooi. Want elke CISO wil de zaken zo goed mogelijk op orde brengen om zijn/haar organisatie te beschermen tegen aanvallen van buitenaf en hoe leuk is het als je die aanvallen tegen een bijna onbeperkt budget mag mitigeren.

Maar kun je als CISO je organisatie wel beschermen tegen elke cyberaanval?
Hier even twee recente voorbeelden.

Nummer één:
het Nederlandse technologiebedrijf Omniboxx.nl, gespecialiseerd in innovatieve opslag- en organisatieoplossingen, is slachtoffer geworden van een ransomware-aanval uitgevoerd door de beruchte Ransomhub-groep. De aanval werd ontdekt op 5 oktober 2024 om 10:46 uur, terwijl de vermoedelijke aanval plaatsvond op 4 oktober 2024. Omniboxx.nl biedt diverse producten die gericht zijn op het optimaliseren van ruimte, zoals modulaire rekken, opbergdozen en aanpasbare systemen voor zowel woningen als bedrijven. Het bedrijf staat bekend om zijn focus op hoogwaardige materialen en modern design.

Voorbeeld twee, eerder dit jaar: een bedrijf dat onder meer voor gemeenten en waterschappen de communicatie met inwoners en bedrijven verzorgt, ontdekte op 17 mei een aanval toen systemen versleuteld bleken. Cybercriminelen hebben systemen versleuteld en data ontvreemd, mogelijk inclusief gegevens van burgers. De toegang tot die digitale buit hadden de aanvallers echter al sinds 5 mei

Ik ga ervan uit dat deze twee organisaties ook het maximale hebben gedaan om hun respectievelijke IT-omgevingen te beveiligen. Belangrijkste kernpunt is opnieuw de bewustwording op een te laat moment, de eventuele juridische consequenties en niet te vergeten de reputatieschade die kan optreden. Dit kan beter, dit moet beter en NIS2 dwingt ons het beter te doen.

Richt deze 6 processen in

Hoe dan? Ik geef als tip om je in ieder geval vooraf (beter) te bewapenen met een goed onderhouden cybersecurityraamwerk. En hoe zet je dat op?
Door deze zes processen in te richten:

Bestuurlijk proces: 
Dit richt zich op verantwoordelijkheid bij directie en hoger management om het proces van cybersecurityrisicobeheer op zich te nemen. In het kader van controlevereisten in de NIS2-richtlijnen én DORA (Digital Operational Resilience Act). In het bestuurlijk proces worden de organisatorische context, de riskmanagementstrategie, het cybersecurity supplychain riskmanagement, de rollen, verantwoordelijkheden en bevoegdheden, plus beleid, processen en procedures, en ook de wijze van toezicht beschreven.

Identificatieproces :
Dit is de eerste stap richting de bezittingen in het cybersecurityraamwerk en mvat het identificeren van belangrijke bedrijfsmiddelen, zoals kritieke bedrijfsprocessen, persoonsgegevens en andere waardevolle informatie. Zo kan je bepalen waar je als CISO verantwoordelijk voor bent en daaruit bepalen welke bedrijfsmiddelen het meest kwetsbaar zijn voor een cyberaanval. Vervolgens ga je deze prioriteren voor verdere stappen.

Beschermingsproces: Na het identificeren van je bedrijfsmiddelen kun je als CISO stappen ondernemen om deze te beschermen. Bij dit type maatregelen kun je denken aan firewalls, web- en mailsecurity, cloudsecurity, veilige toegang op afstand en uiteraard de beveiliging van endpoints. Dit kan bijvoorbeeld door de toegang tot bepaalde gegevens te zoneren en een sterk Identity and Access-beleid op te zetten met multifactor -authenticatie (MFA) en/of het vierogenprincipe.

Opsporingsproces: Het is belangrijk om te detecteren of er een cyberaanval plaatsvindt. Je wilt controle hebben over al het netwerkverkeer binnen je organisatie. Zo kun je snel reageren en de schade beperken. Denk hierbij aan een SIEM-oplossing (Security information and event management) en een systeem voor Anomalydetection 

Reactieproces: Wanneer er zich na alle bovenstaande maatregelen een aanval voordoet, is het belangrijk om snel te reageren. Dit kan bijvoorbeeld door geïnfecteerde systemen te isoleren, verdacht verkeer te blokkeren of contact op te nemen met een incident response team. Het is ook belangrijk om de oorzaak van de aanval vast te stellen en te analyseren, zodat je herhaling in de toekomst kunt voorkomen. Dit proces dient goed en actueel gedocumenteerd te zijn en regelmatig ook getoetst en geoefend te worden.

Herstelproces: Als er toch een aanval plaats heeft gevonden, is het belangrijk om de bedrijfsprocessen zo snel mogelijk te kunnen herstellen en de normale werkzaamheden te hervatten. De werkprocessen inclusief de inhoud van de herstelgegevens uit de back-ups dienen dan wel met een BCT (Business Continuïteit Test) vooraf te zijn aangetoond. Ook dit proces dient goed en actueel gedocumenteerd te zijn en regelmatig getoetst en geoefend te worden.

Maar dan ben je er nog niet

Tot zover wat je zelf direct kunt doen. Maar als je bovenstaande op orde hebt, ben je helaas nog niet veilig. Want je staat niet op jezelf; je organisatie is onderdeel van ketens. Met NIS2 wil de overheid de digitale weerbaarheid van organisaties verder versterken door alle samenwerkingspartners binnen de keten beter te laten samenwerken en daarmee meer bewustwording creëren. Je kunt dus zelf alles op orde hebben maar de digitale weerbaarheid van je organisatie is zo sterk is als de zwakste schakel in de hele keten van samenwerkingspartners. Daarom is het van groot belang dat de in te richten governanceschil, die zich richt op verantwoordelijkheid bij directie en hoger management, het onderdeel Cybersecurity Supply Chain Risk Management in zich draagt.
Al met al flinke inspanningen, die we door NIS2 op ons af krijgen. Ik ben positief gestemd over de impact van wet- en regelgeving zoals NIS2. Want over het algemeen wordt de keten daardoor veiliger. We zien in de praktijk dat de kleinere bedrijven in de keten profiteren van de kracht van de grotere bedrijven. Er vindt meer communicatie plaats binnen de keten en de zwakste schakel toont zijn kwetsbaarheid en gooit deze ook over de schutting binnen de keten.

De kracht van ketens

De krachtigste bedrijven in de keten stellen nu hun kennis en ervaring ter beschikking en helpen de zwakkere schakels. Daarbij wordt er ook meer gekeken naar bestaande beveiligingsoplossingen binnen de keten en worden deze in een matrix gedeeld om zo met vereende krachten de keten te beschermen tegen cybercriminelen. Ook zou een keten ‘gezamenlijk’ een securitytest over de hele keten heen kunnen laten uitvoeren, in plaats van voor alleen een geïsoleerd onderdeel. Dit geeft dan een veel beter beeld van de IT-beveiliging.

Bovenstaand geeft meer inzicht in de complexiteit van cybersecurity en de verantwoordelijkheden die bij bestuur en directie komen te liggen. Want zij moeten niet alleen de risicobeheermaatregelen op het gebied van cyberbeveiliging goedkeuren, maar ook toezicht houden op de implementatie daarvan.

Het is dus zo vreemd niet dat de CISO in 2024 in een geheel andere positie zit en te horen krijgt  “Maakt niet uit wat het kost, regel het!” want bestuur en directie mijden nu eenmaal problemen.

Brancheorganisaties slaan alarm om nieuwe eisen cyberveiligheid van NIS2

23 april 2024  Van Jasper Bakker, Redacteur AG Connect

Duizenden bedrijven dreigen al binnen enkele maanden belangrijke klanten en omzet kwijt te raken omdat ze nog niet bekend zijn met nieuwe Europese eisen op het gebied van cybersecurity. Daarvoor waarschuwen 63 branche- en koepelorganisaties, waaronder MKB-Nederland, Techniek Nederland, Transport en Logistiek Nederland, Bouwend Nederland en Bovag.

In oktober wordt de Network- and Information Security-regeling (NIS2) van kracht. Bedrijven die onder deze nieuwe Europese richtlijn vallen, zijn dan niet alleen verantwoordelijk voor hun eigen digitale veiligheid maar ook voor die van hun gehele toeleveranciersketen. Bestuurders kunnen zelfs persoonlijk aansprakelijk gesteld worden als ze op dit gebied nalatig zijn geweest.

Nog geen idee

Veel bedrijven hebben nog geen idee wat hen staat te wachten, volgens de brancheorganisaties. Zij hebben zich daarom aangesloten bij het platform Samen Digitaal Veilig, dat enkele jaren geleden werd opgericht om bedrijven te helpen hun digitale beveiliging op orde te krijgen.

Volgens Coen van den Berg van Samen Digitaal Veilig heeft de nieuwe Europese richtlijn gevolgen voor ruim 50.000 Nederlandse bedrijven. Slechts een kleine minderheid is van de nieuwe eisen op de hoogte, stelt hij.

Duitse druk

Nederland heeft de wetgeving voor oktober nog niet op orde, maar bedrijven die met andere Europese landen zaken doen, kunnen toch al in de problemen komen, stelt Van den Berg. Nu al ontvangen bedrijven die aan Duitse klanten leveren signalen dat ze in oktober van dit jaar moeten voldoen aan de richtlijn. Als dat niet het geval is, kunnen ze volgens Van den Berg deze klanten kwijtraken. "Want in Duitsland zijn ze streng op naleven van wetgeving."

SANS Institute: zijn bedrijven wel klaar voor de EU NIS2-richtlijn?

 11 april 2024 Jasper Bakker, Redacteur AG Connect

Goede beveiliging van digitale middelen krijgt door de NIS2-richtlijn een hogere prioriteit voor organisaties in heel Europa. Security-opleider SANS Institute gaat met een enquête in kaart brengen in welke mate bedrijven, overheden en andere organisaties voorbereid zijn op de vernieuwde Network and Information Security directive (NIS2). Dit moet inzichten geven inzichten om organisaties naar verbeterde beveiligingsmaatregelen te kunnen sturen.

"Het gaat niet alleen om paraatheid, maar ook om de weg naar een uitgebreide(re) compliance en het versterken van de collectieve verdediging", stelt certified instructor Dean Parsons van het SANS Institute. Hij is auteur van  de enquête die nu is uitgezet. Deze marktbevraging moet een verhelderend licht werpen op de gereedheid voor en het algemene bewustzijn over de NIS2-richtlijn van de Europese Unie.

Cruciale vooruitgang

"We zijn getuige van de snelle evolutie qua aanvallen en ontwikkelingen binnen cybersecurity, en de introductie van de NIS2-richtlijn markeert een cruciale vooruitgang in de regelgeving voor cyberbeveiliging", aldus Parsons. De Europese richtlijn moet op 17 oktober door de EU-lidstaten zijn omgezet in nationale wetgeving. De Nederlandse overheid heeft echter al openlijk aangegeven dat het die deadline niet gaat halen.

Demissionair minister Yeşilgöz-Zegerius heeft eind januari de Tweede Kamer geïnformeerd dat het streven is om het wetsvoorstel voor NIS2-implementatie in het najaar aan te bieden. Security-expert Brenno de Winter heeft toen tegen AG Connect al benadrukt dat de inwerkingtreding echt niet opschuift. “Het feit dat de implementatie er niet is, betekent niet dat de NIS2 niet ingaat en dat de verplichtingen voor organisaties er niet gaan zijn. Daar zijn ze ook op aanspreekbaar”, waarschuwt hij.

Géén adempauze

De vertraging betekent wel uitstel voor handhaving; toezicht op naleving laat op zich wachten. Dit heeft ook het ministerie van Justitie erkend tegenover AG Connect. De Winter merkt op dat dit níet gezien moet worden als een adempauze. "De lat gaat flink omhoog. Dat verandert niet. Er gaat dus ook geen druk van de ketel."

De NIS2-enquête die SANS Institute nu houdt, loopt tot en met 10 mei en moet inzicht bieden in de paraatheid van bedrijven, overheden en organisaties én aanknopingspunten voor verbetering. SANS spreekt van een cruciaal controlepunt voor organisaties om hun verdediging te beoordelen en af te stemmen op de aanstaande wetgeving op basis van NIS2. De securityopleider komt nog met een rapport en belooft daarmee een blauwdruk te brengen "voor het navigeren door de complexiteit van de NIS2-richtlijn”.

Contact

2Staff B.V. 
Europalaan 2
5232 BV 's-Hertogenbosch 

T 030- 600 5000
F 030- 600 5001
E info@2staff.nl