AI inzetten om de uitdagingen van de NIS2-regelgeving het hoofd te bieden
By Anove
Inleiding
Nu bedrijven steeds vaker te maken krijgen met een stroom van richtlijnen en wetgeving die gericht is op het tot stand brengen van veilige uitwisselingsomgevingen met cyberbeveiligingsmaatregelen in de hele EU, ondergaat het landschap van digitale beveiliging een ingrijpende transformatie.
Dit geldt voor de NIS-richtlijnen die in de Europese wetgeving zijn opgenomen, allereerst in 2016 met NIS1, die tot doel had de samenwerking tussen de lidstaten te versterken en een eerste niveau van harmonisatie op het gebied van cyberbeveiliging tot stand te brengen.
Zes jaar later, in 2022, werd de NIS 2-richtlijn gepubliceerd om de vorige versie te verbeteren. Maar toen Europese actoren dachten dat ze met NIS2 wel genoeg werk hadden, werd in maart 2024 de AI-wet aangenomen, die AI-risico's aanpakt en Europa positioneert om wereldwijd een leidende rol te spelen.
Er blijft dus één vraag over: hoe kunnen we omgaan met deze last van Europese regelgeving, en zijn er overeenkomsten tussen NIS2 en de AI-wet? In dit artikel laten we zien hoe we AI kunnen inzetten om aan de regelgeving te voldoen door overeenkomsten in de nieuwste regelgeving te identificeren en ons daardoor te richten op één enkele, AI-gedreven oplossing.
1. De NIS2-richtlijn
In 2020 werd de NIS2-richtlijn voorgesteld als herziening van NIS1. Deze richtlijn heeft tot doel nieuwe en zich ontwikkelende cyberdreigingen en veranderende technologische omgevingen aan te pakken. De implementatie van nieuwe en strengere cyberbeveiligingsregelgeving is bedoeld om de veerkracht van vitale diensten, digitale dienstverleners en kritieke infrastructuur te verbeteren. NIS2 beoogt de melding van incidenten en de responsmethoden te verbeteren, een grotere samenwerking tussen lidstaten en andere belanghebbenden te bevorderen en zich aan te passen aan de toenemende onderlinge verbondenheid van digitale systemen.
Voor entiteiten die onder het toepassingsgebied vallen, maakt NIS2 onderscheid tussen twee categorieën: belangrijke en essentiële diensten. De vereisten voor entiteiten in beide categorieën zullen hetzelfde zijn. Er zal echter een verschil zijn in de boetes en toezichtsprocedures. Met de implementatie van NIS2 zullen essentiële entiteiten moeten voldoen aan toezichtseisen, en zullen belangrijke entiteiten onder ex-post toezicht staan, wat betekent dat als autoriteiten bewijs van niet-naleving vinden, zij passende maatregelen zullen nemen. Als zij dit nalaten, kan dit leiden tot zware sancties of zelfs een verbod om in de sector actief te zijn.
Waarom is het een last en voor wie?
· Kosten in verband met naleving: De implementatie van NIS2-normen vereist vaak grote financiële uitgaven voor infrastructuur, technologie, opleiding van medewerkers en nalevingsprocedures. Het kan met name voor start-ups of kleine en middelgrote ondernemingen (kmo's) moeilijk zijn om de middelen vrij te maken die nodig zijn om aan deze nalevingsvereisten te voldoen.
· Administratieve lasten: NIS2 voegt nieuwe administratieve verantwoordelijkheden toe, waaronder kaders voor risicobeheer, protocollen voor incidentrespons en rapportagevereisten. Het kan veel tijd en middelen kosten om aan deze verplichtingen te voldoen, waardoor deze ten koste kunnen gaan van belangrijke bedrijfsactiviteiten.
· Complexiteit: Organisaties die in verschillende rechtsgebieden actief zijn of die uiteenlopende bedrijfsstrategieën hanteren, kunnen moeite hebben om het regelgevingskader van NIS2 te doorgronden en te implementeren. Het kan lastig zijn om de subtiliteiten van de richtlijn te begrijpen en volledige naleving te garanderen.
· Gevolgen voor innovatie: Hoewel het doel van NIS2 is om innovatie te stimuleren, kunnen de strenge regelgevingseisen innovatieve ontwikkelingen belemmeren, vooral voor kleinere bedrijven die moeite zouden hebben om aan de nalevingsvereisten te voldoen. Dit kan de concurrentie verminderen en de vooruitgang van innovatieve technologieën belemmeren.
· Concurrentienadeel: Bedrijven die actief zijn in gebieden die niet onder NIS2 vallen, kunnen dit als een last beschouwen, omdat ze, om de Europese markt te betreden, mogelijk hun bedrijfsvoering moeten aanpassen om te voldoen aan de EU-wetgeving. Hierdoor kunnen ze een concurrentienadeel hebben ten opzichte van bedrijven die al in de EU zijn gevestigd.
Hoe kan Anove helpen?
Anove heeft een app ontwikkeld die specifiek op deze kwesties is gericht.
Naast algemene aspecten zoals privacybeheer, risico's en beveiligingsmaatregelen, genereert de Anove-app automatisch een ‘in-control’-verklaring voor elke regelgeving, zoals DORA, NEN, GDPR of NIS2, in ons geval. Deze unieke functies stellen u in staat proactief te rapporteren en aan te tonen dat u de situatie onder controle heeft, ongeacht wie hierom vraagt. Dit stelt u ook in staat te voldoen aan regelgeving in andere regio's of groeimarkten, zoals NIS2.
Met Anove kunt u met slechts een paar klikken een ‘in-control’-verklaring opstellen die is afgestemd op uw organisatie. Dit kan eenvoudig worden gedaan in het gedeelte ‘Compliance’ op strategisch niveau.
Figuur 1: Genereren van een ‘in-control’-verklaring in de module ‘Compliance’ op strategisch niveau
Figuur 2: Een volledige ‘in-control’-verklaring gegenereerd voor NIS2 in minder dan 10 seconden.
NIS2 lijkt dan ook een uitdaging te zijn voor veel Europese bedrijven, en naarmate het digitale landschap evolueert met de opkomst van nieuwe technologieën zoals kunstmatige intelligentie, worden er nieuwe regelgevingen opgelegd aan diverse Europese actoren, zoals de zeer recente Wet op kunstmatige intelligentie, die zich voornamelijk richt op op AI gebaseerde technologieën met veel overeenkomsten met NIS2.
2. De EU-AI-wet
De snelle ontwikkeling van op AI gebaseerde technologieën heeft geleid tot de invoering van nieuwe regelgeving en richtlijnen om potentiële risico's aan te pakken die gepaard gaan met het wijdverbreide gebruik van AI in ons dagelijks leven en in het bedrijfsleven.
Als gevolg daarvan heeft de Europese Commissie in april 2021 het eerste EU-regelgevingskader voor AI voorgesteld. Hierin staat dat AI-systemen die in verschillende toepassingen worden gebruikt, worden geanalyseerd en geclassificeerd op basis van de risico's die ze voor gebruikers opleveren. De verschillende risiconiveaus zullen leiden tot verschillende niveaus van regelgeving.
Hoewel NIS2 en de AI-wet twee verschillende teksten zijn die verschillende kwesties aanpakken die verband houden met gegevensprivacy en cyberbeveiliging, vertonen ze enkele opvallende overeenkomsten.
Dit geldt met name voor de verplichtingen op het gebied van risicobeoordeling, beveiliging en melding.
a. Verplichtingen inzake risicobeoordeling
· NIS2 verplicht exploitanten van essentiële diensten en aanbieders van digitale diensten om risicobeoordelingen uit te voeren om kwetsbaarheden in de beveiliging van netwerken en informatiesystemen op te sporen en te beheren.
· De AI-wet verplicht leveranciers van AI-systemen met een hoog risico om risicobeoordelingen uit te voeren om potentiële gevaren voor de grondrechten, de veiligheid en aansprakelijkheid in verband met de inzet en het gebruik van AI-systemen te onderzoeken.
b. Beveiligingsverplichtingen
· NIS2 verplicht exploitanten van essentiële diensten en aanbieders van digitale diensten om voldoende beveiligingsmaatregelen te nemen om hun netwerken en informatiesystemen te beschermen tegen cyberaanvallen.
· De AI-wet legt beveiligingsverplichtingen op aan leveranciers van AI-systemen met een hoog risico, waarbij zij moeten voldoen aan gespecificeerde normen voor robuustheid, betrouwbaarheid en nauwkeurigheid om risico's te beperken en de veiligheid en beveiliging van AI-systemen te waarborgen.
c. Meldingsverplichtingen
· NIS2 verplicht exploitanten van kritieke diensten en aanbieders van digitale diensten om de bevoegde autoriteiten in kennis te stellen van alle significante incidenten die de beveiliging van hun netwerken en informatiesystemen aantasten.
· De AI-wet verplicht leveranciers van AI-systemen met een hoog risico om aangewezen autoriteiten in kennis te stellen van bepaalde informatie, waaronder incidenten, storingen en wijzigingen in het beoogde doel of ontwerp van het AI-systeem, die van invloed kunnen zijn op de naleving van de wet.
Nu vraagt u zich wellicht af hoe we al deze kwesties binnen uw bedrijf kunnen aanpakken met Anove-technologie.
Onze AI-aangedreven technologie biedt u inderdaad de oplossing die u nodig hebt om “één keer te testen, vele keren te voldoen”. U hoeft geen rekening te houden met de vele vereisten van NIS2, de AI-wet of toekomstige regelgeving; wij bieden een oplossing om in één keer te voldoen aan alle SRF (normen, regelgeving en kaders) binnen het bereik van uw bedrijf.
3. Hoe kunnen deze veelvoorkomende uitdagingen succesvol worden aangepakt met de Anove-app
a. AnoveAI ondersteunt u bij het opstellen van controles.
AnoveAI stroomlijnt het proces van het opstellen van controles, waardoor Information Security Officers aanzienlijk tijd en moeite besparen. Op basis van onze aanzienlijke expertise hebben we AnoveAI getraind om exacte, relevante en volledige controlebeschrijvingen te leveren. Deze beschrijvingen behandelen methodisch kritieke factoren zoals wie, wat, wanneer, hoe en waarom, waardoor een systematische aanpak voor het voldoen aan criteria wordt gegarandeerd. Onze oplossing is bedoeld om uitgebreide, aan de industriestandaard beantwoordende controledocumentatie te genereren.
Figuur 3: AnoveAI is direct geïntegreerd in het gedeelte voor controlebeheer en is toegankelijk via één eenvoudige knop.
Om dit te bereiken, hebben we ons grote taalmodel grondig getraind met behulp van diverse controlevoorbeelden, waarbij we ons strikt aan de Kipling-technieken hielden en ons richtten op specifieke gebruikersscenario's. Of het publiek nu bestaat uit controle-eigenaren, risicomanagers of auditors, het gebruik van de Kipling-techniek (5W1H) garandeert dat de resultaten duidelijk en coherent zijn. Ten slotte streven we naar meer zichtbaarheid door u succesvol te helpen bij het implementeren en evalueren van uw controles, zodat u tijdens audits uw naleving kunt aantonen.
Figuur 4: AnoveAI helpt de gebruiker bij het opstellen van controles volgens de Kipling-methode (5W1H).
Met AnoveAI zorgen we voor meer eenvoud voor controle-eigenaren. AnoveAI biedt controle-eigenaren namelijk een uitgebreide set richtlijnen, zodat zij zich kunnen concentreren op de implementatie. In de context van risicobeheer is een controle een toezegging om risico's te beperken en op een beheersbaar of laag niveau te houden. U kunt zekerheid krijgen van de controle-eigenaar, zelfs als u misschien niet volledig op de hoogte bent van elke controle. Vanuit het perspectief van een auditor vertegenwoordigen controles de toewijding van de organisatie aan het beheren van risico's en het implementeren van interne procedures om aan externe vereisten te voldoen. Auditors beoordelen controles met betrekking tot specifieke sets van interne of externe vereisten. De daaropvolgende onderhouds- en evaluatieprocessen worden efficiënter gemaakt door controles nauwkeurig vast te stellen.
b. Test één keer, en voldoe aan vele.
Elk raamwerk hoeft niet zijn eigen ‘in-control’-verklaring te hebben. Raamwerken overlappen elkaar vaak wat betreft de controles die ze voorstellen. Deze overlap kan in kaart worden gebracht om te bepalen waar de raamwerken elkaar kruisen. Er wordt één ‘bovenliggend’ raamwerk voorgesteld, dat overeenkomt met verschillende ‘onderliggende’ raamwerken en hun ‘onderliggende’ controles. U hoeft alleen deze bovenliggende controle in het bovenliggende raamwerk te testen om naleving van verschillende andere onderliggende controles te waarborgen, zoals geïllustreerd in figuur 5.
Deze mapping is al beschikbaar in technologieën zoals Anove en wordt bijgewerkt telkens wanneer het raamwerk verandert. Bedrijven kunnen nu één enkele ‘in-control’-verklaring indienen die van toepassing is op meerdere raamwerken.
Figuur 5: Een voorbeeld van ‘test één keer, voldoe aan vele’ voor de controle van identificatie en authenticatie.
c. AnoveAI stelt proactief acties voor op basis van ineffectieve controletests.
U hebt waarschijnlijk gemerkt dat veel acties die moeten worden uitgevoerd om ineffectieve controles te verbeteren, repetitief zijn binnen een ISMS, zoals bijvoorbeeld:
- Penetratietesten (simuleren van cyberaanvallen om kwetsbaarheden in systemen en controles te identificeren. Dit kan zwakke plekken blootleggen in toegangscontrole, beveiligingsbeleid of procedures voor incidentrespons.) of
- Monitoring (regelmatige monitoring van de effectiviteit van geïmplementeerde wijzigingen en het uitvoeren van beoordelingen om ervoor te zorgen dat controles relevant blijven in het licht van evoluerende bedreigingen).
Daarom bieden we dankzij AnoveAI een AI-aangedreven assistent die herstelmaatregelen voorstelt om ineffectieve controles te verbeteren. We hebben de AI LLM-engine grondig getraind op basis van de jarenlange ervaring van onze experts in het veld om u bij elke stap te adviseren.
Kortom, met de opkomst van steeds complexere regelgeving op de Europese markt, zoals NIS2 en de AI-wet, moeten organisaties overschakelen naar een meer proactieve aanpak die innovatie en gebruiksgemak combineert. Bovendien is AI, zoals we zien bij de AI-wet, een centrale speler geworden in GRC, aangezien er strengere regelgeving voor geldt. In dit geval moeten organisaties AI zelf inzetten als bondgenoot om deze compliance-last het hoofd te bieden. Het is alsof je gif gebruikt om gif te genezen, een paradoxale maar effectieve remedie in de huidige medische vooruitgang.
Daarom is Anove een strategische partner bij het verbeteren van digitale assurance. Met onze geavanceerde technologie, AnoveAI, helpen wij u efficiënt te voldoen aan NIS2 en de AI-wet, volgens ons kernprincipe: “test once, comply many.” Vertrouw op Anove om u niet alleen te helpen bij het opstellen en implementeren van controles binnen uw ISMS, maar ook om u te voorzien van het inzicht dat u nodig heeft op strategisch en tactisch niveau om uw organisatie te begeleiden naar een toekomst waarin digitale assurance naadloos is en succes onvermijdelijk.
Wilt u meer lezen:
Anove maakt gebruik van AI om alle NIS2- en AI-wetvereisten te vereenvoudigen. Wilt u meer weten over hoe we dat doen? Klik hier https://www.anove.ai/post/unlocking-the-power-of-ai-anoveai