Een fundering, niet het plafond: ESET verwelkomt de NIS2

Next story

ESET verwelkomt de beslissing van EU-wetgevers voor de goedkeuring van de tweede netwerk- en informatiebeveiligingsrichtlijn (NIS2), die tot doel heeft de cyberweerbaarheid in de hele EU te versterken. Er is een nieuwe richtlijn gekomen, omdat kritieke sectoren steeds meer afhankelijk zijn van digitale middelen. Hierdoor is de kans dat zij blootgesteld worden aan cyberdreigingen groter dan jaren geleden.

De nu goedgekeurde en bekrachtigde richtlijn vervangt de in 2016 ingevoerde NIS-richtlijn als allereerste EU-brede wetgeving inzake cybersecurity. De richtlijn introduceert een breder toepassingsgebied en heeft gevolgen voor meer entiteiten in "essentiele" sectoren, zowel in de publieke als in de private sector, zoals energie, vervoer, banken, water en afvalwater, naast andere kritieke infrastructuur. Tegelijkertijd worden nieuwe verplichtingen ingevoerd voor bedrijven in andere "belangrijke" sectoren zoals industrie, levensmiddelen, chemicaliën, afvalbeheer, post- en koeriersdiensten.

Ondernemingen die als "essentieel" worden aangemerkt, zullen zowel technische als operationele maatregelen moeten nemen om aan NIS2 te voldoen. Het gaat daarbij onder meer om incidentenbestrijding, beveiliging van de toeleveringsketen, versleuteling en openbaarmaking van kwetsbaarheden, adequate risicoanalyse, het testen en doorlichten van cybersecuritystrategieën en crisisbeheersplannen om de bedrijfscontinuïteit te waarborgen. In geval van een cyberincident zullen deze entiteiten ook binnen 24 uur een eerste melding moeten doen en binnen 72 uur meer gedetailleerde informatie moeten verstrekken. NIS2 voert eveneens boetes in voor niet-naleving, waaronder schorsing van certificering en persoonlijke aansprakelijkheid voor leidinggevende functies, in overeenstemming met de nationale wetgeving.

Ten slotte wordt met de richtlijn het Europees netwerk voor de coördinatie van cybercrises, EU-CyCLONe, opgericht om samenwerking mogelijk te maken tussen nationale agentschappen en autoriteiten die belast zijn met cybersecurity, en wordt elke lidstaat ook verplicht om één contactpunt aan te wijzen voor het melden van cyberincidenten.

Moet het mkb aan de richtlijn voldoen?

NIS2 voorziet in "de toepassing van de "size-cap"-regel, waarbij alle middelgrote en grote ondernemingen, zoals gedefinieerd in Aanbeveling 2003/361/EG van de Commissie, die actief zijn in de sectoren of het soort diensten aanbieden waarop deze richtlijn betrekking heeft, binnen de reikwijdte van de richtlijn vallen". Hoewel kleine en micro-ondernemingen niet aan de nieuwe regels hoeven te voldoen, gelden er enkele uitzonderingen voor bijvoorbeeld mkb-ondernemingen in de sectoren 'elektronische communicatienetwerken' of 'openbare elektronische communicatiediensten', aanbieders van trustdiensten of topleveldomeinnaam (TLD's) registers.

Het mkb is steeds vaker het doelwit van aanvallen op de toeleveringsketen vanwege beperkte beveiliging. Dergelijke aanvallen op de toeleveringsketen kunnen een domino-effect hebben op entiteiten waaraan zij leveren. De lidstaten moeten via hun nationale cybersecuritystrategieën kleine en middelgrote ondernemingen helpen de problemen in hun supply chain aan te pakken. De lidstaten moeten op nationaal of regionaal niveau over een contactpunt voor kleine en middelgrote ondernemingen kunnen beschikken. Dit contactpunt moet deze ondernemingen begeleiding en bijstand verlenen of hen doorverwijzen naar de juiste instanties met betrekking tot aan cybersecurity gerelateerde kwesties.

In maart vorig jaar publiceerde de European DIGITAL SME Alliance, het grootste mkb-netwerk in de EU op het gebied van ICT, haar standpunt over het voorstel voor NIS2. Zij verwelkomt de nieuwe richtlijn, maar waarschuwt ook voor de indirecte gevolgen van NIS2 voor het mkb.

In gesprek met ESET merkt James Philpot, projectmanager bij DIGITAL SME, op dat de eerste stap die mkb's zouden moeten nemen om "inzicht te krijgen in de specifieke behoeften om hun cybersecurity-praktijken te verbeteren" is om te kijken naar hun "nationale cybersecurity-centrum en de richtlijnen en aanbevelingen van ENISA". Het kan echter variëren hoe makkelijk of moeilijk het is om de juiste informatie te vinden, aangezien "de verschillende lidstaten verschillende middelen ter beschikking stellen". Niettemin geeft NIS2 "de lidstaten de opdracht steun en middelen te verstrekken", vooral om een gedetailleerd inzicht te krijgen in het bereik van deze wetgeving "en of hun klanten eraan zullen worden onderworpen", hetgeen "zal helpen vooruit te plannen".

Uitdagingen omzetten in kansen

"Afnemers zullen waarschijnlijk de meeste hinder ondervinden", en het kan voor sommige bedrijven een uitdaging zijn om over de nodige technische capaciteiten te beschikken, maar vooral om "de rapportageverplichtingen en de wisselwerking tussen NIS2 en andere lokale wetgeving" te begrijpen, aldus Philpot.

"Maar in meer algemene zin moeten we er positief tegenover staan", en "inspanningen om het niveau van cybersecurity in Europese bedrijven te verbeteren toejuichen". Het enige voorbehoud, waarschuwt Philpot, is het niveau van "implementatie en ondersteuning, en hoe dat wordt beheerd, dat zal uiteindelijk het verschil zijn tussen een wetgeving die het midden- en kleinbedrijf helpt en een wetgeving die een regelgevende overbelasting is".

Bovendien zijn ESET en DIGITAL SME ervan overtuigd dat dit nieuwe raamwerk een kans is. "Het kan inderdaad een kans zijn, er zijn in Europa technische oplossingen beschikbaar om het vereiste niveau van cybersecurity te bieden", maar bedrijven moeten vermijden "op zoek te gaan naar de grootste merken of de goedkoopste oplossingen, die meestal niet van Europese oorsprong zijn". Daarom is het zo belangrijk om "steun en middelen te koppelen" om "gebruik te maken van deze wetgeving en de Europese innovatie te versterken".

Het mkb kan ook contact opnemen met hun lokale CSIRTS om een deel van de tekortkomingen van andere nationale instanties te verhelpen, of gebruikmaken van hulpmiddelen zoals de DIGITAL SME/SBS-guide, de DIGITAL SME Guide on Information Security Controls of cybersecuritycertificaten.

Op weg naar veiligere ondernemingen.

ESETs SMB Digital Security Sentiment Report (de Nederlandse variant is hier te raadplegen), dat vorige maand werd gepubliceerd, ontdekte dat weliswaar 83% van het mkb gelooft dat cyberoorlog een zeer reële dreiging is en 71% een matig tot groot vertrouwen heeft in hun vermogen om de hoofdoorzaak van cyberaanvallen te achterhalen. Toch beschouwt 43% het gebrek aan bewustzijn van werknemers als de belangrijkste reden voor bezorgdheid, terwijl de toepassing van EDR-oplossingen (endpoint detection and response), die specifiek op dit gebied helpen, slechts 32% bedroeg.

Zoals Philpot ook opmerkt in het gesprek met ESET, "zijn de gevolgen van cyberincidenten bekend" voor mkb-bedrijven: datalekken, aanzienlijke financiële gevolgen en verlies van vertrouwen bij klanten. In  algemene zin moeten we positief zijn over NIS2; op zijn minst zal deze richtlijn een belangrijke rol spelen bij de bewustwording, zelfs voor bedrijven die "niet verplicht zijn om te voldoen, kunnen ze een groter bewustzijn ontwikkelen".

NIS2 wordt van toepassing nadat de EU-lidstaten de richtlijn hebben omgezet in hun nationale wetgeving: tegen september 2024. Toch willen organisaties misschien eerder dan later klaar zijn, niet alleen om tijdig klaar te zijn met het implementatieproces, maar ook om verschillende best practices op het gebied van incidentafhandeling, toezichtbeleid en rapportagemethodes te testen. Maar bovenal definieert NIS2 een gemeenschappelijk minimumniveau van cybersecurity in Europa, dat moet worden gezien als de fundering onder onze voeten, niet als een plafond.

Op deze pagina lees je alles over de NIS2-richtlijn.