Wouter Hoeffnagel - 12 november 2022

Security-experts over nieuwe security-richtlijn NIS 2

Security-experts over nieuwe security-richtlijn NIS 2 image

De Europese security-richtlijn NIS 2 moet eind dit jaar afgerond zijn, in Nederland ook wel NIB 2 genoemd, de netwerk- en informatiebeveiliging richtlijn. Dan is het aan de landen om wetgeving op basis van deze richtlijn te maken, en op die manier de beveiliging van bedrijven en instellingen die van kritiek belang zijn voor een land op een hoger niveau te brengen. Verschillende security-experts delen hun kijk op de aankomende richtlijn en wetgeving.

David Higgins, EMEA Technical Director bij CyberArk, ziet in de nieuwe richtlijn een nuttige opvolger van het origineel: “De NIS2-richtlijn is niet zonder reden een vervolg op de eerste richtlijn: De digitale transformatie heeft geleid tot een cyberrisicolandschap dat veel groter is dan de traditionele doelwitten en 'slechts' de vitale infrastructuur. Meer organisaties, zoals nutsbedrijven en financiële instellingen, dienstverleners en beveiligingsbedrijven zullen moeten handelen naar aanleiding van de NIS2-richtlijn en de nationale voorschriften die op basis van de richtlijn zullen worden vastgesteld. Het verbreden van het toepassingsgebied is verstandig. Wij zijn altijd voorstander geweest van het 'ga uit van inbreuk' beleid voor elk bedrijf in elke sector. Bedreigingen nemen nog steeds toe, en veel daarvan zijn zelfs onbekend. Maatregelen nemen om activa te beschermen is gewoon gezond verstand. Het beveiligen van identiteiten is de manier om dit op de meest effectieve manier te doen.”

'Stap in de goede richting'

Volgens Sebastiaan Kors, CEO van cybersecurity bedrijf Pinewood en partner van onder andere het Zorg Detectie Netwerk en Nationaal Detectie Netwerk, is dit een hele goede stap in de richting voor Nederlandse bedrijven en organisaties. “Informatiedeling is cruciaal voor het tijdig detecteren en stoppen van digitale aanvallen. Alleen door samenwerking kunnen we het tij keren, want het is natuurlijk niet te verkopen dat bepaalde dreigingsinformatie niet gebruikt mag worden voor het stoppen van een aanval bij een logistiek bedrijf terwijl het waterschapsbedrijf om de hoek wel over die informatie beschikt. Ik vind het onze plicht om gevonden kwetsbaarheden zo snel mogelijk te delen met overheden en collega-bedrijven, dat zou ook wederkerig moeten zijn.”
 
“NIB-2 is een hele belangrijke ontwikkeling voor de weerbaarheid van vitale bedrijven, maar legt wat mij betreft ook een basis voor niet vitale bedrijven die economisch een groot belang hebben bij de weerbaarheid van hun ICT-infrastructuur. In dit kader pleit ik ook voor versnelde certificering van Security Operations Centers (SOC) wat aan kan sluiten bij NIB-2 richtlijnen. Dit initiatief is nu in ontwikkeling bij Cyberveilig Nederland en de aangesloten partners.”

“Een belangrijk onderdeel is het onderwerp Digitale weerbaarheid MKB en bedrijfsleven. Hier is nog een wereld te winnen, want dit is de kwetsbaarste sector, ze hebben dezelfde uitdagingen als corporates en grote overheden, maar niet het budget om zich goed te beveiligen. Wij hebben al heel wat ondernemers failliet zien gaan door een hack of aanval. We hebben met elkaar de plicht om een product of dienst te bouwen die betaalbaar is en de MKB-sector beter beschermt”, aldus Kors.

Vraagtekens bij haalbaarheid

Daan Keuper, Head of Security Research bij Computest, ziet veel positiefs in de nieuwe cybersecuritystrategie maar zet wel zijn vraagtekens bij de haalbaarheid van de doelstellingen. “Het is mooi dat er wordt ingezet op meer informatiedeling op het gebied van dreigingen. Dit gebeurt momenteel nog veel te weinig, zeker op het vlak van incidenten valt veel te winnen. Het delen van informatie over dreigingen maakt het mogelijk om betere bescherming en detectie te kunnen bieden, maar ook om sneller te kunnen handelen tijdens een incident. Ook is het goed dat het oefenen van incidenten meer aandacht krijgt. Dit is ook iets dat nu vaak vergeten wordt, terwijl juist het oefenen van incidenten veel waardevolle inzichten oplevert. Deze inzichten kunnen weer worden gebruikt om de impact van een echt incident enorm te verkleinen.”

“Daarnaast is het ook goed om te zien dat de NIB2-richtlijn wordt aangehaald in de nieuwe strategie. Dankzij deze vernieuwde Europese wetgeving zijn vanaf 2024 een stuk meer partijen verplicht om actief met security aan de slag te gaan. Nu zijn dit er nog maar 100, maar dat zijn er straks 5000. Voor de fabrikanten die deze verantwoordelijkheid erbij krijgen is er veel werk aan de winkel. Maar dit zorgt hopelijk voor een meer uniform volwassenheidsniveau.”
 
“Er zitten dus zeker een hoop mooie ideeën in de nieuwe strategie. Wel vraag ik me af of sommige van deze ideeën niet te ambitieus zijn. Er worden vrij veel actiepunten genoemd en het zal een flinke opgave worden om die allemaal op zo’n korte termijn op te pakken. Maar het is in ieder geval positief dat de overheid het initiatief neemt om de verantwoordelijkheid voor security weg te houden bij de burger.”

Axians 12/11/2024 t/m 26/11/2024 BN+BW