Observability-gedreven automatisering is essentieel voor NIS2-compliance

Door Rob Vissers, Regional Director Security Sales bij Dynatrace

NIS2 is de meest uitgebreide cyberbeveiligingsrichtlijn van de EU tot nu toe. NIS2 moet op 17 oktober 2024 omgezet worden in Europese wetgeving, dus organisaties hebben niet lang meer om zich voor te bereiden. Ondanks dat deze datum in Nederland niet gehaald zal worden, betekent dat niet dat organisaties die straks onder deze richtlijn vallen zich hier niet zo snel mogelijk op moeten voorbereiden. Er is dus geen tijd te verliezen. 

Een grote uitdaging

De technologie die organisaties gebruiken om innovatie te stimuleren wordt slimmer en krachtiger, maar dat geldt ook voor methodes die cybercriminelen gebruiken. NIS2 moet ervoor zorgen dat organisaties beter beschermd zijn tegen steeds geavanceerdere cyberaanvallen. 

NIS2 hanteert bijvoorbeeld hele strenge deadlines voor het melden van cyberbeveiligingsincidenten. Organisaties zijn verplicht om binnen 24 uur een vroegtijdige melding te maken van een cyberbeveiligingsincidenten en een meer gedetailleerde melding binnen 72 uur. Dit moet een eerste beoordeling van het incident bevatten, waarin staat hoe ernstig het is, wat de impact is en wat de compromittering kan hebben veroorzaakt. Na een maand moeten organisaties een eindrapport aanleveren, waarin staat welke lessen er getrokken worden uit het incident. 

Deze eisen onderstrepen dat het voor organisaties niet langer voldoende is om aan te tonen dat ze kunnen worden gecontroleerd wanneer daarom wordt gevraagd, maar dat ze beveiligingsincidenten snel en effectief kunnen onderzoeken en erop kunnen reageren. Als we kijken naar de huidige staat van cyberbeveiliging en het feit dat beveiligingsteams niet altijd de juiste tools hebben, dan zijn deze deadlines enorm lastig te halen.

Alleen mensen zijn niet genoeg

Wanneer organisaties te maken krijgen met nieuwe beveiligings- en compliance-eisen, is hun eerste reactie maar al te vaak om meer mensen in te zetten. Hoewel het belangrijk is om over de juiste vaardigheden te beschikken om compliant te worden en blijven, is dit geen duurzame of langetermijnoplossing. NIS2 zal dit tekort aan vaardigheden in eerste instantie verergeren, omdat zoveel organisaties ermee te maken krijgen. 

De complexe aard van multicloud-omgevingen en de levering van cloud native voegt een extra uitdaging toe aan NIS2-compliance. Softwareontwikkeling vindt voortdurend plaats, met meer releases en kortere testcycli voor beveiligingsteams. Daardoor is de kans groter dat teams kwetsbaarheden over het hoofd zien. Uit onderzoek blijkt dat slechts 50% van de CISO’s er het volste vertrouwen in heeft dat hun software volledig is getest op kwetsbaarheden voordat het in productie wordt genomen. 

Een slimme oplossing 

Om te voldoen aan de NIS2-eisen en robuuste mogelijkheden voor het beheer van en onderzoek naar kwetsbaarheden en incidenten te hebben, is het essentieel om analyse- en rapportageprocessen voor beveiliging te optimaliseren en automatiseren. Beveiligingsteams kunnen met een handmatige aanpak onmogelijk het detailniveau en de nauwkeurigheid bieden die NIS2 vereist. Organisaties hebben realtime gegevens over hun beveiliging en end-to-end inzicht in hun hybride multicloud-omgeving nodig.

Dit kunnen ze alleen bereiken door beveiligings- en observability-gegevens samen te voegen, en door runtime kwetsbaarheidsanalyses te automatiseren om inzicht te krijgen in de ernst en impact van incidenten. Met deze inzichten kunnen teams onmiddellijk de urgentie van kwetsbaarheden beoordelen en identificeren welke systemen getroffen zijn tijdens een incident – wat essentieel is voor vroegtijdige waarschuwingsrapporten. Ze kunnen ook inzicht krijgen in hoe ze problemen kunnen aanpakken en oplossen, waardoor ze snel kunnen handelen. Om deze informatie in een korte tijd te kunnen verzamelen is automatisering de enige optie. 

Verder dan compliance 

Organisaties moeten ook onderzoeken hoe ze deze mogelijkheden kunnen uitbreiden om verder te gaan dan NIS2-compliance. In plaats van alleen te focussen op het opsporen en rapporteren van problemen in de productie, moeten ze proberen te voorkomen dat deze problemen ontstaan. Dit kan alleen met een ‘secure by default’-mindset. Ze moeten ervoor zorgen dat beveiliging een belangrijk onderdeel is van de levenscyclus van softwareontwikkeling. 

Om een secure by default-mindset te bereiken, moeten beveiligings- en ontwikkelteams bijvoorbeeld beter samenwerken om ervoor te zorgen dat software niet verder komt in de pijplijn, tenzij beide teams zeker weten dat het veilig is. Geautomatiseerde kwaliteits- en beveiligingspoorten zorgen ervoor dat er geen handmatig werk meer nodig is. Door deze mogelijkheden te combineren met observability-gegevens, kunnen kwetsbaarheden of fouten automatisch worden ontdekt, zodat ontwikkelaars ze op kunnen lossen voordat de code naar de volgende opleveringsfase gaat. 

Het is tijd voor actie

De deadline voor NIS2 nadert en kijkend naar de gestelde eisen kunnen organisaties het zich niet veroorloven om te wachten met reageren. Regelgevingen voor cyberbeveiliging zullen alleen maar strenger worden, dus organisaties moeten nu actie ondernemen en ervoor zorgen dat ze het benodigde inzicht hebben om dit soort compliance-eisen voor te blijven.