Martijn Kregting - 21 december 2023

NIS2: MSP's vervullen sleutelrol in naleving nieuwe richtlijnen

Oktober 2024 is in de agenda van menig securityprofessional rood omrand. Vanaf die maand is de NIS2-richtlijn zeer waarschijnlijk omgezet in wetgeving. Dit heeft voor veel IT-dienstverleners aanzienlijke gevolgen. De nieuwe wetten hebben echter niet alleen invloed op de dienstverleners zelf, maar ook op hun klanten en andere organisaties in de sectoren die onder NIS2 vallen. Deze organisaties zullen de effecten van de nieuwe wetgeving merken, vertelt Martijn Nielen, senior sales engineer bij WatchGuard Technologies. Hij gaat nader in op wat dit voor beide partijen betekent. Want uiteindelijk blijft security - en dus ook een cyberincident - een gedeelde verantwoordelijkheid.

NIS2: MSP's vervullen sleutelrol in naleving nieuwe richtlijnen image

Martijn Nielen, WatchGuard.

In Nederland maken steeds meer bedrijven gebruik van de diensten van managed security providers (MSP’s). NIS2 merkt MSP’s aan als digitale dienstverleners, omdat zij securitydiensten leveren aan andere organisaties. Daarmee vallen ze onder de reikwijdte van de richtlijn en moeten ze voldoen aan specifieke beveiligingsverplichtingen. MSP’s zijn vanaf dat moment niet alleen eindverantwoordelijk voor de eigen securityomgeving, maar ook voor de digitale veiligheid van hun klanten.

Onder NIS2 (zie ook de uitleg over NIS2 onderaan) zijn managed security providers (MSP’s) eindverantwoordelijk voor de security bij en van hun klanten. Dat heeft verstrekkende gevolgen. Het gelijktijdig bij een groot aantal klanten de complete securityomgeving beheersbaar maken, vraagt namelijk om specialistische middelen. Dat betekent in de praktijk dat zij...

1. Een geïntegreerde, solide set security voor alle klanten moeten realiseren.

‘Een beetje security’ is met NIS2 geen optie. De richtlijn vraagt om maatregelen in een breed spectrum: van patchmanagement tot identiteitsbeheer en van endpoint security tot netwerkbeveiliging.

“Losse puntoplossingen zijn in dat licht bezien nauwelijks meer een optie”, stelt Nielen. “In een lappendeken van securitymiddelen is de kans op de hiaten of (dure) overlap te groot. Bovendien neemt dan de complexiteit, en daarmee de kans op fouten, snel toe. Om over het inefficiënte beheer van zo’n versnipperd landschap nog maar te zwijgen.”

2. Snel en adequaat moeten kunnen ingrijpen.

Bij onregelmatigheden moet een MSP snel handelen om een ernstig verloop van een cyberaanval of -incident zoveel mogelijk te voorkomen. Daarnaast vraagt NIS2 om een beleid en middelen voor effectieve incidentrespons en incident recovery, mocht het toch misgaan. Ze moeten dus bij iedere klant snel en adequaat kunnen ingrijpen. Het liefst ook zonder fysieke aanwezigheid. Als iedere minuut telt, is immers iedere minuut reistijd een te veel.

Daarnaast verplicht de NIS2 tot het maken van een melding bij ernstige incidenten. En, benadrukt Nielen: “Daar is haast bij: binnen uiterlijk 24 of 72 uur moet de eerste incidentrapportage bij de Rijksinspectie Digitale Infrastructuur liggen. Ook deze taak ligt onder de NIS2 bij de MSP.”

Nieuwe werkwijze

Dit zijn bepaald geen gemakkelijke opgaven voor MSP’s. Het vraagt in sommige gevallen om een herziening van de manier waarop zij te werk gaan. Nielen: “In alle gevallen vraagt het om een effectief, centraal securityplatform. Een waarmee zij een hecht geïntegreerde set van securityvoorzieningen snel en effectief kunnen uitrollen en beheren. En op ieder willekeurig moment op afstand kunnen ingrijpen.”

Een voorbeeld hiervan is het WatchGuard Unified Security Platform. Dit biedt MSP’s een diverse set tools en functies die nodig zijn voor NIS2-compliance, zoals:

  1. Geïntegreerde beveiligingsdiensten: het platform biedt een breed scala aan geïntegreerde beveiligingsdiensten, zoals firewall, IPS/IDS, antivirus, VPN en patchmanagement. Hierdoor kunnen MSP’s een complete set beveiligingsoplossingen leveren zonder te hoeven vertrouwen op losse tools. Bovendien bevat het platform meerdere API’s voor naadloze integratie met veelvoorkomende oplossingen.
  2. Centraal beheer en monitoring: met het WatchGuard Unified Security Platform kunnen MSP’s alle beveiligingsactiviteiten van hun klanten centraal beheren en monitoren. Ze hebben volledige zichtbaarheid van alle netwerken, apparaten en gebruikers, waardoor ze snel dreigingen kunnen identificeren. Dankzij XDR kunnen ze eventuele dreigingen effectief neutraliseren.
  3. Geautomatiseerde rapportage: het platform biedt geavanceerde rapportage- en analysetools waarmee MSP’s gedetailleerde beveiligingsrapporten kunnen genereren. Dit vereenvoudigt het proces van compliance en maakt het gemakkelijk om klanten te voorzien van transparante en begrijpelijke rapporten over de beveiligingsstatus. Die informatie is onmisbaar voor het verbeteren van de security, maar ook voor het doen van de onder NIS2 verplichte incidentmeldingen.

Cruciaal belang

Met de komst van de NIS2 is een centraal securityplatform van cruciaal belang voor MSP’s én hun klanten, concludeert Nielen. Het biedt de nodige zichtbaarheid, controle, schaalbaarheid en efficiëntie om aan de eisen van NIS2 te voldoen én om hun klanten effectief te beschermen. “En laat dat nou precies de doelstelling zijn die de EU met de richtlijn voor ogen heeft.”

Wie nu als organisatie denkt dat NIS2 de verantwoordelijkheid voor cybersecurity en de gevolgen van een cyberincident alleen bij de MSP of andere security-aanbieder legt, heeft het volgens Nielen mis. Een grote groep bedrijven in een groot aantal sectoren valt in meer of mindere mate onder zaken zoals de meld- en zorgplicht die in het kader over NIS2 beschreven wordt. Dit is de lijst van organisaties (‘entiteiten’) die onder NIS2 zullen vallen.

Essentiële entiteiten:

  • Energie
  • Transport
  • Bankwezen
  • Infrastructuur financiële markt
  • Gezondheidszorg
  • Drinkwater
  • Digitale infrastructuur
  • Beheerders van ICT-diensten
  • Afvalwater
  • Overheidsdiensten
  • Ruimtevaart
  • Belangrijke entiteiten
  • Digitale aanbieders
  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Levensmiddelen
  • Chemische stoffen
  • Onderzoek
  • Vervaardiging / manufacturing

Samen verantwoordelijkheid nemen

Het is volgens Nielen verstandig om samen met je security-aanbieder te inventariseren wie welke verantwoordelijkheid heeft en wat er eventueel veranderd of verbeterd moet worden om aan NIS2 te voldoen. Denk bij de zorgplicht aan een regelmatige risicobeoordeling van hun IT-systemen, zowel intern als klantgericht.

“Ook bedrijven die niet onder NIS2 vallen, kunnen overwegen om MSP’s in te schakelen voor hun security. “Dit aangezien de baseline van security voor Managed (Security) Service Providers dankzij NIS2 een stuk hoger zal liggen dan bij ‘standaard’ resellers.”

Een korte opfrisser over NIS2

In Europa is sinds 14 december 2022 een nieuwe cyberrichtlijn van kracht. De NIS2-richtlijn (Network and Information Systems Security Directive) is bedoeld om de Europese Unie veiliger te maken door het verhogen van de digitale bescherming en verlagen van de consequenties door cyberincidenten. De NIS2-richtlijn wordt op dit moment omgezet in Nederlandse wetgeving. Tot die tijd geldt nog de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).

De afgelopen jaren hebben verschillende ontwikkelingen de veiligheid van maatschappij en economie in EU-lidstaten steeds meer onder druk gezet. Denk aan de COVID-19 pandemie, de Oekraïne-oorlog (en de oorlog tussen Israël en Hamas), groeiende en meer complexe cyberdreigingen en de gevolgen van klimaatverandering. Reden waarom de uit 2016 stammende eerste NIS-richtlijn - de NIB - een opvolger krijgt die deze ontwikkelingen meeneemt. Sinds 2020 is aan NIS2 gewerkt.

Veranderingen onder NIS2

NIS2 stuurt op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. De komst van de richtlijn moet bijdragen aan meer Europese harmonisatie en een hoger niveau van cybersecurity bij bedrijven en organisaties. Een belangrijke wijziging is onder meer de forse uitbreiding van het aantal als vitaal aangeduide sectoren waarvoor een zorg- en meldplicht geldt.

Voorbeelden van vitale processen en sectoren zijn momenteel de energiesectoren, ICT/telecom, burgerluchtvaart en de financiële sector. NIS2 duidt dus meer sectoren aan als vitaal. Denk aan gezondheidszorg, transport en energieaanbieders. Maar ook overheidsdiensten, levensmiddelenaanbieders, waterbeheerbedrijven en digitale aanbieders - zoals MSP's en system integrators.

Verplichtingen onder NIS2

Eer zijn drie belangrijke verplichtingen waar organisaties die onder de wet vallen, rekening mee moeten houden: de meldplicht, de zorgplicht, en toezicht.

Zorgplicht: de NIS2-richtlijn bevat een zorgplicht die entiteiten verplicht zelf een risicobeoordeling uit te voeren, op basis waarvan zij passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen.

Meldplicht: NIS2 schrijft voor dat entiteiten incidenten binnen 24 uur moeten melden bij de toezichthouder. Het gaat om incidenten die de verlening van de essentiële dienst aanzienlijk (kunnen) verstoren. In het geval van een cyberincident moet het ook gemeld worden bij het Computer Security Incident Response Team (CSIRT), dat vervolgens hulp- en bijstand kan leveren. Factoren die een incident meldingswaardig maken zijn bijvoorbeeld het aantal personen dat door de verstoring is geraakt, de tijdsduur van een verstoring en de mogelijke financiële verliezen.

Toezicht: organisaties die onder de richtlijn vallen komen ook onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht. Momenteel wordt nog uitgewerkt welke sectoren onder welke toezichthouder komen te vallen.

Axians 12/11/2024 t/m 26/11/2024 BN+BW