NIS2 – Wat besturen moeten doen

NIS2 – een Europese richtlijn die voortbouwt op NIS1 – vereist volledige implementatie door de lidstaten op 17 oktober 2024. Dit betekent dat lidstaten tussen 16 januari 2023 en 17 oktober 2024 de tijd hebben gehad om de wet om te zetten in specifiekere regels en instructies voor effectieve naleving. Opvallend is dat sommige landen en sectoren deze verschuiving al hebben voorzien en zich hierop hebben voorbereid. In dit artikel beschrijf ik drie essentiële standpunten voor besturen of iedereen met een belang in het bedrijf. En de belangrijkste verplichtingen waar u momenteel rekening mee moet houden.

Drie standpunten

Op dit moment zijn er drie hoofdpunten belangrijk om te overwegen bij NIS2. Ik gebruik dit vaak als voorbeeld wanneer bestuurders of investeerders mij vragen: NIS2, wat moet ik ermee?

1. Eigenaarschap is essentieel om uw rol echt te begrijpen, omdat het een bestuurlijke standaard vaststelt die uw vermogen om met ondernemersvrijheid te handelen beïnvloedt.

2. Afbakening, of zoals wij het noemen: demarcatie. Er bestaat een veelvoorkomend misverstand dat de hele organisatie aan NIS2 moet voldoen. De wettelijke eisen stellen echter duidelijk dat alleen de vitale ketens in uw productieproces hoeven te voldoen. Dit betreft onderdelen die, als ze verstoord raken, kunnen leiden tot maatschappelijke onrust, bankruns, dodelijke slachtoffers of andere rampen.

3.  Vermijd het wiel opnieuw uitvinden en laat u niet beïnvloeden door dure consultants of intimiderende cybersecuritybedrijven, die allemaal graag willen profiteren van de commerciële trend. Houd er rekening mee dat als uw organisatie al bepaalde "controles en evenwichten" (checks and balances) heeft, u daarop kunt fortbouwen en deze verder kunt specificeren.



Onderschat het belang van "specificeren" niet. Binnen NIS2 zijn er bepaalde eisen waarbij u een keuze moet maken, zoals of u bepaalde operationele beveiligingsacties zelf wilt uitvoeren of uitbesteden aan een gespecialiseerde partij.

NIS2 als drijvende kracht: hier zult u mee moeten dealen

Ik herhaal niet wat we al weten, maar er zijn wel enkele belangrijke zaken om vooraf te overwegen. Bijvoorbeeld: behoort mijn bedrijf tot een essentiële of vitale sector, of is mijn bedrijf een leverancier in deze keten? Ik gebruik een voorbeeld uit de voedseldetailhandel om de specifieke eisen en implicaties te beschrijven. Het juridische document stelt dat organisaties die betrokken zijn bij "de productie, verwerking en distributie van voedsel, zoals gedefinieerd in Artikel 3(2), Verordening (EG) nr. 178/2002 van het Europees Parlement en de Raad, die actief zijn in groothandel en industriële productie en verwerking" moeten voldoen aan de NIS2-eisen. Maar wat zijn dan "voedselbedrijven" in de context van NIS2? Volgens het Publicatieblad van de Europese Gemeenschappen zijn voedselondernemingen organisaties die actief zijn in elk stadium van de productie, verwerking en distributie van voedsel, en die onderworpen kunnen zijn aan zowel publiek- als privaatrecht. Ze kunnen met winstoogmerk of non-profit opereren. Specifiek omvat deze producttoelevering ook onze leveranciers en dienstverleners, aangezien "in elk stadium" dit impliceert. Deze organisaties moeten dus ook aan specifieke eisen gaan voldoen. Eerst schetsen we de twee belangrijkste soorten verplichtingen: zorgplicht en meldplicht.

Gevolgen van niet-naleving van NIS2-eisen: De bevoegde autoriteit kan een administratieve boete opleggen aan de overtredende partij in geval van:

a. Overtreding van de bepalingen van of krachtens deze wet;
b. Overtreding van Artikel 5:20(1) van de Algemene wet bestuursrecht.

Artikel 28: De bevoegde autoriteit is bevoegd om een administratieve last op te leggen om de naleving van de bepalingen van of krachtens deze wet af te dwingen.

Artikel 27: De bevoegde autoriteit kan degene die niet voldoet aan Artikel 7 of 8, of aan de nadere regels bedoeld in Artikel 9, door middel van een aanwijzing verplichten om binnen een redelijke termijn de daarin gespecificeerde maatregelen te nemen.

Zorgplicht

De zorgplicht in deze context verwijst naar de noodzakelijke voorbereidingen en maatregelen die een organisatie moet nemen om NIS2 effectief te implementeren en in stand te houden. Denk aan het opzetten van een transparante organisatiestructuur, met rol- en functiebeschrijvingen, en een governance-kader om unieke situaties of potentiële problemen te identificeren en weloverwogen beslissingen te nemen. Het is niet voldoende om alleen een Chief Information Security Officer (CISO) aan te stellen en op het beste te hopen. Er moet meer gedaan worden om succesvolle resultaten te garanderen. In NIS2 heeft de directeur, of de raad van bestuur, een belangrijkere rol in governance om boetes te voorkomen of, erger nog, vrijwaring van aansprakelijkheid.

Volgens Artikel 21 van de NIS2-wetgeving zijn er tien maatregelen die organisaties moeten nemen om cybersecurityrisico’s effectief te beheersen. Niet eenmalig, maar continu. Net zoals u uw financiële administratie bijhoudt, is het belangrijk om deze maatregelen systematisch en grondig te documenteren. Ik belicht een paar onderschatte maatregelen die extra uitleg behoeven, te beginnen met het uitvoeren van een risicoanalyse. Dit klinkt misschien voor de hand liggend, maar het is cruciaal om de toepasbaarheid van NIS2 binnen uw organisatie goed af te bakenen. Bij voedselverwerking zijn er bepaalde risico’s om rekening mee te houden, zoals potentiële aanvallen op productiesystemen of slimme meters (IoT, OT), aanvallen op de toeleveringsketen, of zelfs sabotage van apparatuur – alle risico’s die de productkwaliteit en dus de volksgezondheid negatief kunnen beïnvloeden. Neem bijvoorbeeld de "Cheese Hack" die wereldwijde retailer Ahold wekenlang zonder kaas liet zitten. Lege schappen zijn een probleem, maar besmette chocolade heeft veel ernstigere gevolgen.[3]

---

Zero Trust-strategieën

Artikel 89 van NIS2 bespreekt de implementatie van de Zero Trust-principes. Dit betekent dat we technologie inzetten om elke impliciete vertrouwensrelatie die zich door de jaren heen heeft ontwikkeld, strenger te reguleren. Denk aan een extra paspoort- en bagagecontrole op de luchthaven. Bij Zero Trust is het cruciaal om te identificeren wat belangrijk is en hoe dit zich verhoudt tot de organisatie. Dit begint met het bepalen van de betekenis van de "protect surface". In het geval van voedselproductie kan dit verwijzen naar een systeem waarin melk wordt verwerkt door pasteurisatie en vervolgens verpakt. Het uitvoeren van een risicoanalyse is belangrijk voor dit systeem om de exacte reikwijdte en de nodige maatregelen voor risicoreductie te bepalen. Een dienstverlener kan toegang krijgen tot het systeem om onderhoud uit te voeren. Een effectieve manier om de toegang tot een systeem te reguleren, is door de toegangcontroles te versterken door een extra factor te vereisen, zoals een code gegenereerd door een authenticator. Als toegangsmachtigingen te ruim zijn ingesteld, kunnen ongewenste gasten binnendringen. Deze maatregel is zo effectief dat het ongeveer de helft van deze ongewenste gasten buiten houdt.

Wist u trouwens dat een Zero Trust-benadering al in 2021 verplicht werd gesteld voor NATO-handelspartners via een Executive Order?[4].

"Harvard-professoren Hunter en Westerman onderzochten bedrijven die risicobeheer zagen als een continu verbeterproces en toonden aan dat deze bedrijven een hogere marktwaarde hadden."

Een Zero Trust-strategie is gebaseerd op verschillende concepten, waaronder "vertrouw niets, verifieer alles". Dit betekent dat elk verzoek aan een kritisch systeem gepaard gaat met een extra verificatiestap, zoals u kent van Google Mail of Microsoft 365. Voor het gemak van gebruikers is biometrische verificatie nu beschikbaar, wat het proces veel eenvoudiger maakt. Het monitoren van deze extra verificaties in onze productiesystemen is niet alleen een veiligere praktijk, maar ook een verplichting onder NIS2. Als er iets misgaat, stellen deze verificaties ons in staat om het probleem en de betrokken partijen die moeten worden geïnformeerd, zoals ketenpartners, klanten, leveranciers of mogelijk de politie, snel te identificeren. Dit laatste valt onder de verplichte meldplicht. U moet in staat zijn om een ernstig incident volledig en effectief te reproduceren, mitigeren en melden.

Artikel F is mijn persoonlijke favoriet in NIS2: "Beleid en procedures om de effectiviteit van cybersecurity risicobeheersmaatregelen te evalueren." Met name omdat deze beleidsregels en procedures vaak op papier staan, maar zelden effectief worden toegepast. Als practitioner/onderzoeker met 20 jaar ervaring ben ik zelden een betrouwbaar operationeel referentiepunt voor dit issue tegengekomen. Volgens een rapport op CSOOnline is de helft van alle beveiligingsproducten niet correct geconfigureerd, waardoor ze niet goed functioneren. Dit is alsof u een slot op uw deur heeft met de sleutel er de hele dag en nacht in. En dan moet u weten dat de meeste hackers geautomatiseerde tools gebruiken om dat deurklinkje te "voelen" en zo gemakkelijk naar binnen kunnen. De belangrijkste oorzaak van succesvolle digitale inbraken is dus onvolledige herconfiguratie. Dit is ons "low-hanging fruit" voor de oplossing. De vrucht ligt al op de grond, dus ik hoef me niet in te spannen om hem op te rapen.

"Bestuurs-IT-competentie hangt positief samen met bedrijfsprestaties. Uit onderzoek blijkt dat bedrijfsprestaties niet alleen beter zijn, maar ook consistenter in de tijd." (Joshi, A. 2019)

Wat we kunnen leren van anderen

Laten we ons vooral laten inspireren door de Amerikaanse benadering van NIS2. De top-down benadering van de Presidential Executive Order heeft tot doel de cyberweerbaarheid te verbeteren via het Zero Trust-vijfstappenmodel. Daarnaast zijn beursgenoteerde bedrijven verplicht door de Security and Exchange Commission om een CISO aan het bestuur toe te voegen, terwijl de directeur van de Federal Trade Commission (FTC) aansprakelijk kan worden gesteld voor "slechte praktijken". Deze top-down regulering maakt bestuurders bewuster van de behoefte aan sleutelinformatie om de effectiviteit van de NIS2-implementatie goed te volgen en dubbel werk te voorkomen. Feit is dat verschillende processen en taken met betrekking tot GDPR (gezondheidszorg en meldplicht) vergelijkbaar zijn met die van NIS2 en verder kunnen worden ontwikkeld.

---

Vijf vragen die besturen kunnen stellen

Naast de zorg- en meldplicht hebben bestuurders ook de plicht om voorlichting te geven. Vergelijkbaar met de vereiste van permanente educatiepunten voor toezichthouders en managers, is dit programma bedoeld om bewustzijn te vergroten en kennis over te dragen om competentie te ontwikkelen en effectief te kunnen handelen. De cursussen die ik aanbied aan bestuurders en managers bij Antwerp Management School zijn ontworpen om verschillende vaardigheden te onderwijzen, zoals het leren denken als een CFO voor een CISO en vice versa, zodat ze elkaars rollen beter begrijpen en kunnen samenwerken als bondgenoten. Zo kunnen we nadenken over hoe we maximale effectiviteit kunnen bereiken met minimale middelen. Hier zijn enkele voorbeeldvragen die in deze trainingen aan bod komen. Bestuurders en DG’s kunnen deze vragen vooraf aan hun security officer stellen om de huidige status en voortgang van NIS2 te achterhalen:

-Wat waren de belangrijkste uitkomsten van de risicoanalyse die is uitgevoerd op onze Protect Surfaces-sleutelketens? Welke behandelplannen hebben we ontwikkeld om het gewenste resultaat te bereiken? En wat is dat gewenste resultaat?

-Wie in onze toeleveringsketen is 24/7/365 beschikbaar in geval van een incident, en wanneer is dit voor het laatst getest?

-Aan wie en wat moeten we melden in geval van een incident of verstoring? Hebben we dit proces recentelijk getest, en zo ja, welke lessen zijn daaruit getrokken?

-Wat is onze typische tijdsduur voor het detecteren en indammen van incidenten in termen van impact op de bedrijfsvoering en handel? Wanneer is dit tijdskader in de praktijk getest?

-Hoe kunnen we de effectiviteit van onze beveiligingsmaatregelen meten en ervoor zorgen dat ze in realtime correct zijn geïmplementeerd? Dit omvat het verifiëren van de kwaliteit van onze maatregelen, zoals hun configuraties.

Het stellen van deze vragen zal een constructieve dialoog bevorderen, zowel voor als na 18 oktober.

Hooper stelt dat "organisaties hun zorgen over cybersecurity moeten omarmen en dit moeten opnemen in hun selectiecriteria voor bestuurders."

Nieuwe inzichten in compliance

Nu we maatregelen nemen om zorgplicht, melding en reactie bij verstoringen, en educatie te waarborgen, staan we onder toezicht van de autoriteiten. We weten al dat het grote aantal NIS2-compliante bedrijven in de EU, naast allerlei andere aankomende EU-wetgeving, uitdagingen zal opleveren voor toezichthouders. Zij ontberen niet alleen de capaciteit, maar ook de nodige technologische kennis van auditors. Het kleine aantal auditors dat momenteel NIS2 aankan, is onvoldoende. Daarom zullen ze alternatieve methoden van toezicht moeten verkennen. Net als bij financiële rapportages of BTW-aangiften, kunnen we leren van het "omgekeerde bewijslast"-principe. We vragen de gecontroleerde partijen om periodiek een rapport in te dienen, een "In Control Statement", om de effectiviteit van de NIS2-implementatie aan te tonen. Ik schreef hier eerder over als een soort NIS2-keurmerk, en dit idee lijkt aanhang te winnen bij beleidsmakers. Een keurmerk via een control statement kan zelfs dienen als een Unique Selling Point (USP) voor bedrijven.

Compliance als Unique Selling Point (USP)

Uiteindelijk geloof ik dat ondernemers een verantwoordelijkheid hebben om kritisch en strategisch na te denken, specifiek over hoe nieuwe ontwikkelingen hen kunnen beïnvloeden en hoe ze proactief kunnen reageren. Hier zijn drie reflecties die u direct met uw managementteam kunt bespreken:

-Hoe kunnen we bestaande processen en procedures, zoals die voor ISO9001, 27001 of GDPR, effectief hergebruiken bij de implementatie van NIS2? Hoe kunnen we "hergebruik" integreren in deze implementatie? Kunnen we bijvoorbeeld één meting per jaar uitvoeren en toch voldoen aan verschillende wetten en regels? Het principe "eenmaal testen, meerdere keren voldoen" kan verder worden verkend via de hier geboden informatie[5].

-Hoe kan ik mijn bestuurlijke verantwoordelijkheid invullen en strategisch nadenken over het opzetten van de processen die vereist zijn voor NIS2, inclusief Security Operations en Incident Response? Moet ik deze taak zelf uitvoeren, of moet ik proberen om medewerkers te werven, op te leiden en te behouden in een competitieve arbeidsmarkt? Als voedselbedrijf geef ik toe dat beveiliging niet mijn kernfocus is. Of zijn commerciële marktpartijen hier beter in uitgerust? Ik schreef eerder over het "IKEA-effect" en de keuze tussen iets zelf doen of uitbesteden[6].

-Ten slotte moet ik nadenken over wat mijn investeringsplan moet omvatten met betrekking tot NIS2 en andere sectorstandaarden. Als ondernemer is het belangrijk om commerciële Request for Proposals (RFP’s) in ogenschouw te nemen die vaak naleving van specifieke sectorstandaarden voor informatieverwerking vereisen. Denk aan de Payment Card Industry Standard, NEN7510 voor de gezondheidszorg en de Baseline Informatiebeveiliging Overheid (BIO) als u zaken wilt doen met de overheid. En als u ambities heeft om zaken te doen in het buitenland, is het belangrijk om op de hoogte te zijn van de Federal Trade Commission (FTC)-standaard voor financiële bedrijven die zaken doen in de VS en meer dan 5.000 records verwerken. Eveneens moet u voldoen aan de California Consumer Privacy Act (CCPA) als u zaken wilt doen in Californië. In de toekomst zal een internationaal gericht bedrijf mogelijk een breed scala aan klanteisen moeten hanteren. Het is dus verstandig om deze investeringen nu al te overwegen en de herbruikbaarheid van controles te maximaliseren.

Bedrijven die proactief omgaan met informatiebeveiliging en cyberrisico’s, weten hoe ze met NIS om moeten gaan. Door hun NIS2-compliance als USP in te zetten, kunnen ze een voorsprong krijgen op concurrenten. Dit stelt hen in staat om door klanten te worden gezien als een bedrijf dat kwaliteit, transparantie en eerlijkheid hoog in het vaandel heeft staan.

Over de auteur:

Yuri Bobbert is hoogleraar Information System Science (ISS) aan de Antwerp Management School (AMS). Naast zijn academische werk is hij wereldwijd actief in de praktijk als CEO van Anove en Global CSO van ON2IT. Hij beheert talrijke onderzoeksprojecten, waaronder die op het gebied van Zero Trust, meetbare cybersecurity, gestandaardiseerde frameworks, cybereconomie en besluitvorming, en betaalbare cybersecurity voor kmo’s.


Referenties:

[1] De juridische teksten zijn te vinden op: https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32022L2555#d1e32-143-1

[2] https://www.rtlnieuws.nl/economie/tech-business/artikel/5224919/kaas-hack-lege-schappen-albert-heijn

[3] In 2022 riep de Belgische chocoladefabrikant Barry Callebaut chocolade terug vanwege een salmonellabesmetting in de productieketen: https://www.vrt.be/vrtnws/nl/2022/04/05/ferrero-terugroepactie/

[4] Executive Order on Improving the Nation's Cybersecurity: https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

[5] Tech regulations: How to relieve the burden of supervisory bodies and reduce the risk for investors: https://www.anove.ai/post/tech-regulations-how-to-relieve-the-burden-of-supervisory-bodies-and-reduce-the-risk-for-investors

[6] The IKEA effect on Cybersecurity investment decisions: https://12ways.net/blogs/the-ikea-effect-on-cybersecurity-investment-decisions/