In januari gaf demissionair minister van Justitie en Veiligheid, Dilan Yeşilgöz, al aan dat het omzetten van de richtlijnen in nationale wetgeving meer tijd vraagt dan in eerste instantie werd verwacht. Toch blijft 17 oktober staan als implementatiedatum. Dat betekent ook dat organisaties die onder de NIS2-regelgeving vallen vanaf deze datum op hun zorg- en meldplicht aangesproken kunnen worden. Dit heeft voor msp’s een behoorlijke impact. Vanaf het moment dat de nieuwe wetgeving van kracht is, krijgen zij te maken met allerlei cybersecurity-verplichtingen. In eerste instantie voor de eigen security en die van hun klanten, maar ze moeten zich ook kunnen verantwoorden over het beveiligingsniveau van hun toeleveranciers. Dat klinkt als veel gedoe, maar het biedt juist allerlei mogelijkheden.
Groeiende vraag naar securityoplossingen
“Valt een deel van jouw klanten ook onder de nieuwe richtlijn? Dan zal NIS2 vanzelfsprekend je business een boost geven,” zegt Alain Gautier. “De richtlijn verplicht organisaties namelijk tot het nemen van ‘passende en evenredige technische, operationele en organisatorische maatregelen’, en ook ‘rekening houdend met de stand van de techniek’. Simpel gezegd betekent het dat jouw klanten serieus moeten investeren in moderne securitydienstverlening.” Specifieke dienstverlening kan daarbij extra gewild zijn. Zo vraagt de NIS2 expliciet om regelmatige risicoanalyses. Daarvoor is het belangrijk ook de interne kwetsbaarheden in kaart te brengen. “Dat kan de vraag naar pentests stimuleren. Deze vereiste kan ook de vraag naar geavanceerde SIEM-oplossingen vergroten. Daarnaast zijn awarenesstrainingen in dat opzicht interessant. Niet alleen voor je omzet, maar ook voor je geloofwaardigheid als kennispartner.”
Breng ook de interne kwetsbaarheden in kaart
24/7 monitoring
NIS2 vraagt om ‘passende en evenredige’ technische maatregelen om informatiesystemen te beschermen tegen cyberaanvallen. “Afhankelijk van de situatie van je klant vraagt dat om een mix van verschillende securitycontroles. Mogelijke oplossingen zijn onder andere identiteits- en toegangsbeheer, Zero Trust endpoint security en XDR (Extended Detection and Response). Is er een cyberincident bij je klant? Dan moet je snel en effectief kunnen ingrijpen. NIS2 vraagt namelijk om beleid en middelen voor effectieve incidentrespons en incidentrecovery. Dat moet ook zonder jouw fysieke aanwezigheid kunnen. Als iedere minuut telt, is immers iedere minuut reistijd er een te veel. Dat argument kan je helpen je klanten het belang van 24/7 securitymonitoring via een externe SOC te benadrukken.”
Innovaties aanjagen
NIS2 moedigt ook aan tot innovatie. “De richtlijn biedt een ‘baseline’ voor het beveiligingsniveau. Dat betekent dat de markt, en dus ook jouw concurrenten, straks allemaal hetzelfde minimale beveiligingsniveau zullen bieden. Zowel voor de eigen organisatie als naar klanten toe. Maar juist door die vereisten te overstijgen, kun je je als msp in de kijker spelen en jezelf positioneren als expert.” Met name AI en machine learning zijn momenteel het cybersecurity-landschap stevig aan het veranderen. Gautier noemt twee toepassingen waarmee je een stap verder gaat dan de verwachte NIS2-baseline en zo kunt zorgen voor onderscheidend vermogen. “Een AI-gedreven XDR-oplossing correleert gegevens uit verschillende bronnen en helpt zo met het detecteren van reële dreigingen. Ook het aantal valse positieven kan door die slimme correlatie afnemen, zodat je minder overspoeld wordt door loze meldingen. AI kan bovendien veelvoorkomende interventies bij minder serieuze dreigingen automatiseren, waardoor je je handen vrij krijgt voor meer veeleisende taken.”
NIS2 kan jouw business als msp een boost geven
In de tweede plaats is machine learning de drijvende kracht achter NDR (Network Detection and Response). Deze relatief nieuwe evolutie binnen de NDR-technologie inspecteert continu het netwerkverkeer op afwijkingen. De NDR-oplossing ‘leert’ hoe regulier netwerkverkeer eruitziet en kan daardoor afwijkende patronen in dat verkeer steeds beter herkennen. “NDR is daarnaast een fundamentele component van een Open XDR-benadering door essentiële zichtbaarheid, detection- en responsmogelijkheden te bieden in netwerkomgevingen. Dit leidt tot een verbetering van de effectiviteit van holistische strategieën voor het detecteren en reageren op bedreigingen, onafhankelijk van de variatie aan leveranciers in de bestaande omgeving.”
Samenwerking met partners
Een van de meest ingrijpende aspecten van NIS2 voor msp’s is de ketenverantwoordelijkheid, zegt Gautier. “Je bent niet meer alleen verantwoordelijk voor de eigen security en die van je klanten. Je moet ook kunnen aantonen dat jouw toeleveranciers hun securityzaken op orde hebben. Aan de ene kant vraagt dat wat van jou als msp: je moet effectieve methoden ontwikkelen voor het beoordelen en beheren van de cyberveiligheid van je leveranciers. Waar nodig zul je contractuele afspraken over dat securityniveau moeten afdwingen. Aan de andere kant opent die ketenverantwoordelijkheid deuren naar strategische samenwerkingen. Je bent in de keten immers afhankelijk van elkaar. Daarbij kun je gebruikmaken van elkaars kennis en expertise. Bijvoorbeeld door het delen van cruciale inzichten op het gebied van dreigingsinformatie, best practices rond security en deelname aan sectorbrede security-initiatieven.”
Een van de meest ingrijpende aspecten van NIS2 is de ketenverantwoordelijkheid
Strategie voor succes
De NIS2 regelgeving zal handvatten bieden voor succes, maar volgens Gautier is het belangrijk dat je de regie stevig in handen houdt. “Technologie kan daarbij helpen, bijvoorbeeld in de vorm van een centraal, beheersbaar securityplatform.Een platform dat bij groei kan opschalen, dat past binnen je huidige IT-landschap en regelmatig voorzien wordt van innovatieve securityvoorzieningen. Welke je bovendien snel en efficiënt bij je klanten kunt uitrollen en beheren.”
Standaardisatie op zo’n totaalplatform maakt ook een goede samenwerking en afspraken met toeleveranciers eenvoudiger en overzichtelijk, al was het maar omdat het ervoor zorgt dat je uiteindelijk met minder leveranciers en platformen te maken hebt.
“Voor msp’s kan NIS2 aanvankelijk overkomen als een complex juridisch landschap. Maar wie goed is voorbereid, kan een periode met nieuwe kansen en mogelijkheden tegemoetzien,” besluit Gautier.