Vertraagde NIS2-wetgeving geen excuus voor bedrijven om voorbereiding uit te stellen
Door Ronald Ooms, Vice President EMEA North West bij Veeam Software
Cyberaanvallen zijn aan de orde van de dag. Niet alleen komen ze steeds vaker voor; ze zijn ook steeds succesvoller. In 2023 wisten cybercriminelen bij bijna 150 grote Nederlandse organisaties binnen te komen na het uitvoeren van een ransomware-aanval. Europa heeft met NIS2 nieuwe richtlijnen vastgesteld voor security-maatregelen die bedrijven moeten nemen om hun digitale infrastructuur beter te beschermen tegen onder meer dit soort aanvallen. Helaas zullen we in Nederland nog tot volgend jaar moeten wachten op de vertaling van deze richtlijnen in nieuwe wetgeving. Maar zijn Nederlandse bedrijven afhankelijk van deze wetgeving om hun security op orde te brengen? Wat mij betreft niet.
NIS2 zorgt voor meer security-verplichten voor meer organisaties
De eerste Network and Information Security (NIS) directive werd al in 2015 door Europa opgesteld om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. NIS2 is een aangepaste versie van deze richtlijn waardoor het aantal organisaties die onder de richtlijn vallen is uitgebreid: meer sectoren zijn toegevoegd en niet alleen grote bedrijven binnen deze sectoren vallen nu onder de richtlijn, maar ook middelgrote en kleine organisaties. In het kort krijgen deze organisaties te maken met (1) een zorgplicht om zelf een risicobeoordeling te doen, (2) een meldplicht om incidenten binnen 24 uur aan de toezichthouder te melden die (3) controleert of organisaties de verplichtingen ook naleven. Bedrijven die niet aan de verplichtingen voldoen riskeren een boete van maximaal 10 miljoen euro of 2% van hun wereldwijde omzet. Geen halve maatregelen dus.
Nederlandse overheid haalt eigen deadline niet
Voorlopig hoeven Nederlandse bedrijven nog niet te vrezen voor deze mogelijke financiële gevolgen. De vertaling van de Europese richtlijn in Nederlandse wetgeving is uitgesteld tot volgend jaar, omdat de overheid heeft geconcludeerd dat het zijn eigen deadline niet zal halen. Natuurlijk is omzetten van richtlijnen in wetgeving geen proces dat binnen weken of maanden geregeld is. Maar het bewijst voor mij wel dat digitale beveiliging en digitalisering in het algemeen nog steeds niet bovenaan het prioriteitenlijstje van de overheid staat. Ik pleit al jaren voor een Minister van Digitale Zaken, zodat deze thema’s meer aandacht krijgen in een kabinet. Ik vrees dat het voorlopig bij pleiten blijft.
Geen excuus om voorbereiding uit te stellen
Ik hoop dat organisaties het uitstellen van de nieuwe wetgeving als doorvertaling van NIS2 niet als excuus gebruiken om hun eigen voorbereiding op NIS2 ook uit te stellen. Van uitstel zal waarschijnlijk geen afstel komen hier en die wetgeving gaat echt wel doorgevoerd worden. Die extra tijd kunnen de meeste organisaties goed gebruiken. De mogelijke boetes die organisaties boven het hoofd hangen, moeten ook niet de reden zijn om geen extra beveiligingsmaatregelen te nemen. Uit recent onderzoek van Veeam blijkt dat drie op de vier organisaties in een jaar tijd ten minste één keer te maken heeft gehad met een ransomware-aanval. En slechts een derde gelooft dat zij binnen een week kunnen herstellen van een kleine aanval, crisis of storing. Dat verbaast me niks als andere cijfers van het Digital Trust Center aantonen dat meer dan de helft van de bedrijven die slachtoffer waren van een ransomware-aanval geen back-up had, terwijl júist een goede back-upstrategie essentieel is om na een aanval zo snel als mogelijk weer up and running te zijn. Hiermee kunnen organisaties voorkomen dat ze zich gedwongen voelen om losgeld te betalen aan cybercriminelen. Bijna een vijfde van de Nederlandse bedrijven die slachtoffer werden van een ransomware-aanval zag blijkbaar geen andere mogelijkheid en koos er wel voor om de bankrekening van hun aanvallers te spekken.
Grijp NIS2-richtlijn aan als kans om je security op orde te brengen
De NIS2 biedt goede richtlijnen voor security-maatregelen. Niet alleen om volgend jaar torenhoge boetes te voorkomen, maar ook om je eigen data en systemen beter te beschermen tegen cyberaanvallen. Mijn advies is dan ook om je eigen cybersecurity-processen en -technologieën aan de hand van de NIS2-normen onder de loep te nemen en zo te identificeren waar verbetering nodig is. Denk onder meer aan:
Security-maatregelen voor gevoelige data - Zorg voor passende beveiligingsmaatregelen voor personeel dat toegang heeft tot gevoelige data. Integreer zero trust-frameworks, cryptografie en encryptie, en zorg ervoor dat alle systemen regelmatig worden gescand op kwetsbaarheden. Implementeer sterke beveiligingsmaatregelen voor leveranciers in de supply chain en maak waar nodig gebruik van multi-factor authenticatie.
Bedreigingsdetectie - Vroegtijdige detectie van incidenten, zoals ransomware-aanvallen, is cruciaal. Investeer in bedreigingsdetectie, monitoring, alerts en malwaredetectie om incidenten zo vroeg mogelijk op te sporen.
Back-upstrategie - Zorg voor up-to-date back-ups, vooral van bedrijfskritische data. Volg een strategie zoals de 3-2-1-1-0 Golden Backup Rule, waarbij drie kopieën van data op twee verschillende media worden bewaard, waarvan één op een externe locatie en één offline, om nul fouten bij back-up- en herstelverificatie na te streven.
Respons en herstel - Ontwikkel processen voor incidentrapportage en communicatie, en zorg voor noodherstelprocessen om de bedrijfscontinuïteit te waarborgen. Een robuust herstelproces, inclusief planning voor herstel in een aparte, veilige omgeving, is van cruciaal belang om downtime en bijbehorende kosten te minimaliseren. Vorm bij voorkeur een speciaal incident response-team, met vertegenwoordiging uit verschillende bedrijfseenheden, om een incident response-proces te definiëren en dat ook regelmatig te oefenen.
Strategische planning voor herstelomgevingen - Organisaties moeten nadenken over aparte, veilige herstelomgevingen, omdat het herstellen van een omgeving in dezelfde omgeving als het incident vaak niet mogelijk is. Zo voorkom je dat je midden in een een beveiligingsincident moet gaan integreren met nieuwe cloudproviders.
NIS2 is the talk of the town en ondanks dat de wetgeving in Nederland nog iets langer op zich laat wachten gaat die er zeker komen. Nu is het moment om de ‘talks’ om te zetten in ‘actions’ om perfect voorgesorteerd te zijn wanneer NIS2 in werking treedt. Begin met het checken of deze regels op jouw organisatie van toepassing zijn en ga stap voor stap te werk.