Cyber resilience en NIS2-security compliance: assess voor succes

Cyber resilience als hart van NIS2 

Steeds meer (high impact) cyberaanvallen, stijgende schadebedragen, groeiende impact op de bedrijfscontinuïteit, etc.: iedereen kent (en begrijpt) de redenen achter NIS2.

Het pro-actieve cyber resilience-concept vormt duidelijk het hart van de richtlijn, zegt Simon Gemoets, senior security advisor bij Cegeka: “Bij cyber resilience focus je niet alleen op preventie en bescherming, maar je bereidt je organisatie ook zo goed mogelijk voor op incidenten die kúnnen plaatsvinden. Dit anticiperende karakter zie je in NIS2 bijvoorbeeld goed terug in vereisten als het systematische risicobeheersing en het continu verbeteren van de cyberweerbaarheid.” 

Meer dan alleen resilience

De verplichtingen die voortvloeien uit NIS2 komen grotendeels overeen met de ‘standaard’ vereisten en best practices voor cybersecurity en cyber resilience in frameworks als ISO 27001 en NIST CSF. “Maar NIS2 is op een aantal vlakken verstrekkender én strenger”, aldus Remko Verdouw (senior security advisor bij Cegeka Nederland). 

Strengere eisen

Eén van die strengere eisen is de meldplicht, signaleert Remko. “Stel, je valt onder NIS2 en krijgt te maken met een serieus incident. Dan moet je de drie verschillende meldingen binnen specifieke tijdsbestekken doen bij de toezichthouder. De initiële melding zelfs al binnen 24 uur.” 

Net zoals de meldplicht is ook de verantwoordelijkheid van het topmanagement voor de naleving van cybersecuritymaatregelen een veelbesproken topic binnen de branche, signaleert Remko: “NIS2 impliceert dat topmanagers voldoende awareness op het vlak van security en risicobeheersing moeten hebben. Dat kan verregaande consequenties hebben. Is de organisatie niet compliant, dan kunnen zij aansprakelijk worden gesteld voor het falen en een financiële of juridische sancties opgelegd krijgen, zoals een boete of een tijdelijke schorsing.”

Ook de eisen rondom supply chain-management gaan verder dan die van ISO 27001 en NIST CSF. Remko: “NIS2 verplicht jouw organisatie om risico’s in je toeleveringsketen te beheersen en de veiligheid van leveranciers te waarborgen. Leveranciers van NIS2-organisaties kunnen daarom voortaan contracten met een hoop security-vereisten verwachten. Ook zullen ze, min of meer, genoodzaakt zijn regelmatig te assessen. De richtlijn heeft daardoor impact op veel méér organisaties dan alleen de zogeheten essentiële en belangrijke.” 

Aftrappen met assessen

De meest logische – maar niet verplichte – eerste stap richting NIS2-security compliance is een assessment, stelt Simon. “Zo kun je mogelijke lacunes en kwetsbaarheden in je securitylandschap ontdekken en je security posture vaststellen. Ben je klaar met het assessen op de verschillende onderdelen, dan identificeer je de gaps ten opzichte van de NIS2-vereisten. Pas daarná start je met het opstellen en implementeren van een roadmap.” 

Simon en Remko werken allebei met Cegeka’s Continuous Security Advisory Framework (CSAF). Simon: “Met dit geïntegreerde assessment- en advies-framework helpen we organisaties bij het vaststellen en uiteindelijk verbeteren van hun maturiteitsniveau. Daarnaast ondersteunen we bij het opstellen van een toekomstbestendige security-roadmap en bij continue versterking van de cyber resilience.” 

Remko benadrukt dat klanten na een CSAF-assessment niet per se bij Cegeka aan hoeven te kloppen voor het implementeren van de roadmap. “Toch kiezen veel klanten hier wel voor. De diensten van Cegeka bestrijken namelijk de hele keten: assess, prevent, detect & respond én recover. Op al deze vlakken hebben we expertise in huis.” 

Iedere roadmap voor NIS2 is uniek

Er bestaat geen standaard roadmap voor security-compliance; iedere organisatie moet een uniek pad bewandelen. Dat pad wordt bepaald door zaken als het maturity-startniveau, de beschikbare resources en budgetten, de maatschappelijke importantie van de organisatie in kwestie, en de hoeveelheid bedrijfskritische data.

Een belangrijk NIS2-uitgangspunt is dat essentiële en belangrijke organisaties ‘proportionele’ securitymaatregelen moeten nemen. Simon: “De maatregelen die je treft, moeten dus in verhouding staan tot de risico’s van jouw organisatie. Zo kun je – en daar streven wij ook altijd naar – vermijden dat je investeert in dure of onnodige puntoplossingen.” 

Achterstand op policy-vlak

Het valt Simon en Remko de laatste tijd op dat in veel CSAF-trajecten het policydeel van de NIS2-organisatie in kwestie achterloopt of zelfs helemaal ontbreekt. Remko: “NIS2 eist dat je duidelijke beleidsdocumentatie hebt over alles dat is geïmplementeerd. Die documentatie helpt je om aan te tonen hoe je bijvoorbeeld risico’s beheerst en op welke wijze je incidenten rapporteert.” 

De reden dat deze organisaties achterlopen op policyvlak is overigens vaak vrij banaal. “Ze wíllen het wel, maar hebben simpelweg niet voldoende tijd of resources”, aldus Remko. 

Race tegen de klok

De deadline voor lidstaten voor het omzetten naar nationale wetgeving is geprikt op oktober 2024. Volgens Remko is er in de praktijk ‘wel wat rek’. “In Nederland bijvoorbeeld gaat NIS2 – in de vorm van de Cyberbeveiligingswet (Cbw) – pas in de loop van 2025 van kracht. Toch is dat geen reden om achterover te leunen. Integendeel. Maak tempo, helemaal als je nog moet starten. We kunnen het niet vaak genoeg zeggen. Misschien een open deur, maar het kan veel werk zijn om de roadmap te realiseren. Vooral als je security maturity momenteel laag is.” 

Razendsnelle veranderingen, continue assessments

Simon en Remko beklemtonen dat organisaties in al het NIS2-geweld niet moeten vergeten om breder – en (nóg) verder vooruit – te kijken. Simon: “Het begint een cliché te worden, maar de wereld van cybersecurity en -resilience verandert écht razendsnel. Denk maar aan alle nieuwe – vaak gesofisticeerde – aanvallen, de stormachtige opkomst van AI, de tsunami aan (nieuwe) securitytechnologieën, en aan het IT- en OT-landschap dat steeds groter en diverser wordt.” 

De traditionele aanpak waarbij je als organisatie eens in de zoveel jaar assesst, is volgens Simon (mede) daardoor niet langer houdbaar. “Continuous assessment en continuous security improvement zijn in onze ogen altijd key.”

Korte intervallen

Remko legt uit dat ‘continuous’ niet voor niets het eerste woord van CSAF is. “Het betekent dat we met kortere intervallen verschillende soorten assessments uitvoeren. De traditionele, oude manier van assessen is daarbij opgeknipt in hapklare brokken zoals policy maturity.”

Het assessen had volgens Simon voorheen (marktbreed) met name een eenmalig karakter. “Maar binnen CSAF transformeert een assessment tot een heus programma. Met de nieuwe aanpak kunnen we de security van onze klanten vanuit bepaalde perspectieven bekijken, maar ook bijvoorbeeld focussen op één of meerdere specifieke security capabilities.” 

Deze modulaire werkwijze levert meer op dan alleen een compleet security-beeld, vertelt Remko. “Het biedt ook de kans om klein te beginnen. Of juist om uitsluitend te focussen op het assessen van bepaalde aspecten, zoals technische securitycontroles of documentatie en policies.”

Remko: “Wanneer je continu assesst, ben je allereerst beter in staat om je security aan te passen aan de laatste dreigingen en ontwikkelingen. Daarnaast voorkom je dat de aandacht voor security gaandeweg steeds meer verslapt, zoals we zagen bij het assessen om de paar jaar. Ten slotte is het fijn dat je de tijds- en capaciteitsinvesteringen voor een assessment beter uitsmeert.”

NIS2-security compliance als bonusprijs

Het pad naar NIS2-security compliance kent hoe dan ook de nodige hobbels, uitdagingen en kosten. Maar zie het zo, stelt Simon: “Bij de finish blijkt dat cyber resilience de hoofdprijs is van jouw security compliance-traject, met NIS2-security compliance als bonusprijs. Die bonusprijs helpt je onder meer om het vertrouwen van leveranciers, klanten en het grote publiek te winnen.”