Wet Beveiliging Netwerk- en Informatiesystemen (NIS2)

21 november 2020

Een nieuwe Europese aanpak tegen cybercriminaliteit

Als Security Officer (of CISO), Functionaris Gegevensbescherming, hoofd IT of KAM-manager is dit voor u een interessant artikel om te lezen.

De Europese Unie is al bijna 10 jaar bezig met het ondernemen van acties ter bescherming tegen cybercriminaliteit. Sindsdien zijn binnen Europa veel initiatieven ondernomen. Zo heeft de EU verschillende strategieën en richtlijnen gepubliceerd met als doel de digitale veiligheid van burgers, bedrijven en overheden te waarborgen.

In 2020 kwam de EU met een nieuwe ‘Cybersecurity Strategy’. Deze strategie heeft als doel om Europa beter bestand te maken tegen de voortdurend toenemende cyberdreigingen, zoals hackers, malware, e.d. vanuit de hele wereld, zodat burgers, bedrijven en overheden kunnen profiteren van en vertrouwen op betrouwbare digitale instrumenten.

De strategie omvat drie doelstellingen:

Bevorderen weerbaarheid, technologische soevereiniteit en leiderschap;
Operationele capaciteit opbouwen om te voorkomen, te ontmoedigen en te reageren op cybercriminaliteit;
Een mondiale en open cyberspace bevorderen via een intensievere samenwerking met partners die de EU waarden en normen voor democratie, rechtstaat en mensenrechten delen.

De eerste concrete uitwerking van het Europese cybersecuritybeleid was de richtlijn netwerk- en informatiesystemen (NIS-richtlijn). Deze trad in augustus 2016 in werking. De richtlijn bevat beveiligingsverplichtingen voor aanbieders van digitale diensten en moet zorgen voor een verbetering van de veerkracht en weerbaarheid van netwerk- en informatiesystemen in de EU-lidstaten. De Europese regels uit de NIS-richtlijn zijn in Nederland geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni) en voorziet maatregelen om het algehele niveau van cyberbeveiliging in Nederland én in alle EU lidstaten te verhogen.

Zo is er gezorgd voor een grotere paraatheid van de lidstaten met de vereiste van de instelling van een Computer Security Incident Response Team (CSIRT).

De voorschriften in de NIS richtlijn kunnen organisaties gebruiken om hun weerbaarheid tegen activiteiten van cybercriminelen te verhogen. Het betreft hier echter een richtlijn en geen verordening wat deze minder krachtig maakt vanwege het adviserende vrijblijvende karakter. Bij een verordening zijn Europese landen en organisaties verplicht deze wettelijk te implementeren en toe te passen.

Toegenomen criminele activiteiten vragen om aanpassingen

Door groeiende en versnelde ontwikkelingen in onze digitale wereld is er ook een stijging van phishing pogingen, malware en ransomware aanvallen. Statistieken laten zien dat er een toenemende mate van cybercriminaliteit blijft aanhouden. Hierdoor blijven o.a. banken, ziekenhuizen, nutsbedrijven, overheidsdiensten, onderwijsinstellingen en andere bedrijven van bepaalde omvang ook meer kwetsbaar en vaker slachtoffer van cyberaanvallen.

De toename van de dreigingen en cybergijzelingen brengen nieuwe uitdagingen met zich mee, zoals IoT of cloud attacks, maar ook op BYOD (Bring Your Own Device) policies of 5G. Zo blijkt uit onderzoek dat meer dan 60 procent van de Nederlandse bedrijven de afgelopen twaalf maanden eens of meermalen slachtoffer geweest van malware en of ransomware. Twintig procent daarvan is daadwerkelijk slachtoffer.

De kwetsbaarheid veroorzaken we vaak zelf

De meest voorkomende kwetsbaarheden voorzaken we vaak zelf. Onzorgvuldigheid bij procedures en gebruik van wachtwoorden, back-up bestanden, inrichting en onderhoud, slecht beveiligde routers en firewalls, waardoor het netwerkverkeer gewijzigd/afgeluisterd kan worden. Problemen met SSL-certificaten of webstatistieken die voor iedereen inzichtelijk zijn (gegevens van klanten, orders, wachtwoorden, facturen).

Deze gegevens kunnen eenvoudig misbruikt worden voor (identiteit)fraude en chantage. Plus achterstallig onderhoud aan mail en webservers, waarbij niet de laatste patches zijn geïnstalleerd, waardoor de server gemakkelijk overgenomen kan worden of zelf servers en websites die al gehackt blijken te zijn. Als gebruikers naar deze server gaan, staat de browser dat niet toe, of in het ergste geval loopt de gebruiker een virus op.

Aangepast beleid is nodig

Deze ontwikkeling vereist voor uw organisatie aangepast beleid voor digitale dreigingen. Elke onderbreking in de businesscontinuïteit kan een domino effect hebben op de rest van de keten. Dus voor leveranciers, afnemers en andere stakeholders. Met mogelijk een ernstige en langdurige impact op de levering van diensten en/of producten op de hele markt.

De keten – een belangrijk onderdeel in de richtlijn

Het individuele continuïteitsrisico en daarmee de gevolgen voor de interne en externe keten van een bedrijf of organisatie is een belangrijk element in de richtlijn. Deze bepleit vooral om samenwerking tussen lidstaten, werkgevers- en brancheorganisatie, e.d. om faciliterende ondersteuning te bieden en om informatie te delen.

Dit met name voor het creëren van een samenwerkingscultuur tussen verschillende sectoren die essentieel en belangrijk zijn voor de economie en de samenleving, die vooral afhankelijk zijn of meer afhankelijk worden van ICT, zoals transport, energie, water, banken, financiële markten, infrastructuur, gezondheidszorg, onderwijs en digitale infrastructuur.

Zo is bijvoorbeeld in april 2022 een wetsvoorstel van minister Yeşilgöz-Zegerius (Justitie en Veiligheid) ter wijziging van de Wet beveiliging netwerk- en informatiesystemen (Wbni) naar de Tweede Kamer gestuurd. Hiermee kan informatie over digitale dreigingen of over andere incidenten van vitale aanbieders en organisaties waarover het Nationaal Cyber Security Centrum beschikt, gedeeld worden met andere aanbieders die tot taak hebben om te informeren over dreigingen en incidenten. Iets wat niet kan in de huidige Wbni.

NIS 2, een nieuwe Security Directive

Tussentijds zijn de Europese Commissie, het Europese Parlement en de Europese Raad verder gegaan met het verbeteren van de weerbaarheid tegen cybercrimebedreigingen. In december 2020 stelde de Commissie een herziening van de NIS-richtlijn (NIS2) voor.

De Commissie vindt dat de huidige NIS-richtlijn door de voortdurend toenemende en veranderende manier van cyberdreiging en de digitale transformatie van de samenleving niet meer up-to-date is. De nieuwe richtlijn moet ervoor zorgen dat de veiligheidsvereisten versterkt worden. Denk hierbij aan de invoering van strengere toezichtmaatregelen voor nationale autoriteiten of het uitbreiden van informatie-uitwisseling en samenwerking en uitbreiding naar meer kritische economische sectoren. In mei 2022 hebben de Raad van de EU en het Europees Parlement een voorlopig akkoord over NIS2 bereikt.

Uitbreiding van de sectoren in de nieuwe NIS2

Behalve versterking van de veiligheidsvereisten, zoals strenger toezicht en meer informatie-uitwisseling en samenwerking, wordt het aantal sectoren met een kritische economische functie verder uitgebreid. Dit betreft met name commerciële sectoren, zoals post- en koeriersdiensten, afvalbeheer, chemische stoffen, voedselvoorziening, productie van medische apparatuur, computers en elektronica, machines en motorvoertuigen, en online-aanbieders (marktplaatsen, zoekmachines en sociale netwerken). Ook biedt het lidstaten de mogelijkheid behalve middelgrote en grote bedrijven ook kleine bedrijven met een hoog veiligheidsrisico te ‘earmarken’ en te bewerkstelligen dat zij hun weerbaarheid tegen cybercrime verhogen en optimaliseren.

Bedrijven en organisaties met minder dan 50 medewerkers en minder dan 10 miljoen euro omzet, hoeven zich doorgaans niet druk te maken om deze nieuwe richtlijn. Tenzij een opdrachtgever of afnemer uit een van de genoemde kritische sectoren aan een klein bedrijf als (toe)leverancier deze beveiligingseisen stelt om de veiligheid in de keten te optimaliseren. Hierbij wordt gebruik gemaakt van de ketenaansprakelijkheid, waarbij de opdrachtgever of hoofdafnemer aansprakelijk kan worden gesteld voor optimale cybersecurity in alle schakels van de digitale keten.

Aanpassingen vaak relatief eenvoudig

Bedrijven en organisatie kunnen hun weerbaarheid optimaliseren door o.a. het versterken van de veiligheidseisen, een minimum aan risico management maatregelen en meer bewustwording in de leveranciersketen. Maatregelen die bedrijven nu ook al relatief makkelijk kunnen toepassen zijn o.a. de systemen zo instellen dat je kunt zien wie op welk moment in het bedrijfssysteem actief is, alsook een goede back-up maken en multifactor-authenticatie in te stellen voor alle accounts.

Illustratie uit factsheet 2: NIS1 uit 2016 met overzicht van sectoren waar NIS1 van toepassing is.

Illustratie uit factsheet 2: NIS2 uit 2022-2023 met overzicht van sectoren waar NIS2 van toepassing is.

Vergelijkbaar met de ISO 27001

De vereiste aanpassingen binnen NIS 2 laten zich in menig opzicht vergelijken met de vereisten voor het halen van bijv. het ISO 27001 certificaat.

Zo worden er criteria gesteld voor risicoanalyse en beleid inzake de beveiliging van informatiesystemen, incidentenbehandeling (preventie en opsporing van en respons op incidenten) en bedrijfscontinuïteit en crisisbeheer. Maar ook de beveiliging van de toeleveringsketen, met inbegrip van beveiliginggerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en diens leveranciers of dienstverleners, zoals leveranciers van diensten op het gebied van gegevensopslag en -verwerking of beheerde beveiligingsdiensten.

Daarnaast wordt melding gemaakt van beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden, evenals beleid en procedures (testen en audits) om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen, tot) het gebruik van cryptografie en encryptie.

Flinke boetes

Een zeer belangrijk nieuw aspect binnen NIS 2 is dat het lidstaten de mogelijkheid biedt behalve bedrijven en organisaties ook de CEO’s zelf, of een raad van Commissarissen of Toezicht bij overtredingen enorme boetes op te leggen. “Als de cybersecurity niet op orde is, kan dat gaan om 2 procent van de jaaromzet. Een gigantisch bedrag, gelijk aan wat hackers vaak eisen. Door bestuurders ook aansprakelijk te kunnen stellen, verwachten we dat bedrijven echt actie gaan ondernemen”, zo stelt Europees Parlementslid (VVD) Bart Groothuis.

Haast met de invoering

De Europese commissie en het Europese Parlement bepleiten dat de verschillende Europese lidstaten NIS 2 binnen 18 maanden de richtlijn uitvoeren. Dit kan minister Yeşilgöz-Zegerius (Justitie en Veiligheid doen door opnieuw een aanpassingsvoorstel op de Wet beveiliging netwerk- en informatiesystemen (Wbni) in te dienen bij de Tweede Kamer of een nieuw wetvoorstel voorleggen. Nederland is verplicht de richtlijn te ‘vertalen’ naar nationaal recht op een zodanige wijze dat het beoogde resultaat van de Europese regelgeving wordt bereikt.

De verwachting is dat bedrijven en organisaties vanaf 2023 met de uitvoeringsaspecten van deze richtlijn te maken krijgen.

Voor meer gedetailleerde informatie klik hier voor NIS1 en hier voor NIS2.