De cyberweerbaarheid in Europa en in Nederland laat te wensen over. Bedrijven als Datto meten dit jaarlijks en ook de EU maakt zich daar zorgen over. Daarom heeft Brussel de NIS2-richtlijn ingesteld, die de netwerk- en informatiebeveiliging moet verbeteren. De richtlijn ligt nu bij de verschillende lidstaten om tot lokale wetgeving omgezet te worden. En dat wordt hoog tijd, zegt Hans ten Hove, Vice President Continental Europa van Datto. “Er is echt veel werk aan de winkel om onze bedrijven weerbaarder te maken tegen aanvallen.”
Wat is NIS2?
Het draait allemaal om het beschermen van de essentiële infrastructuur. Bij een aanval op digitale systemen kunnen belangrijke voorzieningen worden bedreigd: water, elektriciteit, internet. NIS staat voor Network & Information Security. De eerste versie stamt uit 2016 en was bedoeld voor de bedrijven die verantwoordelijk zijn voor de levering van onder meer stroom, internet en water. Bij NIS2 wordt dit uitgebreid naar zorgverleners, banken, voedselproducenten én naar msp’s die hierdoor een zorgplicht en meldplicht krijgen voor hun klanten. NIS2 zal in Nederland – letterlijk vertaald – Netwerk & Informatie Beveiliging 2 gaan heten (NIB2). Net als bij de AVG is er ook een meldplicht voor incidenten, waarop vergelijkbare, flinke boetes staan wanneer bedrijven dit verzuimen. De handhaving ligt in dit geval bij de Rijksinspectie Digitale Infrastructuur, het voormalige Agentschap Telecom.
Wanneer gaat de NIS2 directive in?
De afzonderlijke EU-lidstaten moeten de Europese richtlijn omzetten naar lokale wetgeving. De Nederlandse overheid heeft daarvoor nog even de tijd. De verwachting is dat de Nederlandse wetgeving in oktober 2024 in zal gaan. Maar het is zaak om je als bedrijf daar nu al op voor te bereiden.
Impact veel groter
De impact van NIS2 zal veel groter zijn dan alleen onder de essentiële en belangrijke sectoren, verwacht Ten Hove. “Aandacht voor de richtlijn zal het bewustzijn onder alle bedrijven vergroten.” Hij voorziet dat de impact voor de msp groot zal zijn: “De vraag wie er verantwoordelijk is voor de beveiliging was vroeger soms lastig te beantwoorden, maar door de met name genoemde zorgplicht, is het duidelijk dat deze in veel gevallen bij de msp komt te liggen.” En dat betekent nogal wat. “De msp zal met een duidelijk verhaal naar zijn klant moeten gaan en wil die niet mee met een adequate beveiliging, dan moet je je als msp dus serieus afvragen of je wel met die klant in zee wilt.” Andersom werkt het ook, zegt Ten Hove. “Veel mkb-bedrijven zoeken een dienstverlener in de directe omgeving, maar zulke bedrijven gaan nu ook kritischer kijken naar de msp waarmee ze willen werken. Aan de andere kant zijn er ook bedrijven die denken dat gesprekken over cyberweerbaarheid verkoopgedreven zijn. Bij die bedrijven roepen voorstellen voor verbeteringen vooral scepsis op, want ‘er volgt zo dadelijk vast een gepeperde offerte voor die verbeteringen’.”
Versnippering
Er zijn veel organisaties die zich bezighouden met de digitale beveiliging van bedrijven en het vergroten van de weerbaarheid. De boodschap is daardoor vaak versnipperd. Datto is mede-initiatiefnemer van een overkoepelende organisatie, de Dutch Cybersecurity Assembly (DCA). Deze heeft ook een werkgroep die zich speciaal richt op NIS2 en de oplossingen om de cyberweerbaarheid te vergroten.
De DCA verspreidt de boodschap om de cyberweerbaarheid te vergroten door middel van 7 basismaatregelen. “Bovenaan staat het inventariseren van kwetsbaarheden. Dat is een assessment met behulp van de nodige tools. Voorkomen van malware is een tweede. Zorg daarnaast voor het doorvoeren van updates waar nodig, zowel op software, netwerken als op hardware. Het beperken van toegang tot bronnen binnen een bedrijf is een ander belangrijk punt. Gelukkig zijn steeds meer bedrijven zich bewust van een zero trust-aanpak. Zorg daarnaast voor veilige instellingen op alle onderdelen van je bedrijfsvoering. Deze vijf punten komen overeen met aanbevelingen van het Digital Trust Center. De twee door de DCA toegevoegde punten zijn: zorg voor voorzieningen om de bedrijfsvoering zo snel mogelijk te herstellen (business continuïteit) en zorg voor training en educatie om alle betrokkenen cyberbewust te maken.”
Backup
Over het punt van herstel is al veel geschreven en ook Datto hamert op de verantwoordelijkheid die msp’s hebben in dit opzicht. “Bij het mkb is nog steeds onvoldoende bekend dat aanbieders van cloudapplicaties – zoals Microsoft 365 – wél zorgen voor de continuïteit van de toepassingen, maar niet voor de daarmee gegenereerde data en documenten van de klant. Dus je kunt niet zeggen ‘ik werk in de cloud, dus mijn data zijn veilig’. Integendeel. En met NIS2 komt daar dus nog de eigen verantwoordelijkheid voor de veiligheid bij, met een duidelijke zorgplicht voor de msp.”
Ten Hove heeft dan ook een heldere oproep voor zijn msp-partners: zet cyberweerbaarheid op de agenda, inventariseer waar je zelf staat en wat er nog nodig is om zo weerbaar mogelijk te zijn. Ketenaansprakelijkheid zal ook een van de onderdelen zijn van NIS2. Wees daarom voorbereid en ga het gesprek aan met je klanten. “De weerbaarheid is echt veel te laag in Nederland.”