De Europese NIS2-richtlijn moet organisaties met kritieke taken dwingen om cyberweerbaar te zijn. In Nederland wordt NIS2 waarschijnlijk pas medio 2025 een wet gegoten en mogelijk nog later. Volgens Filip Verloy, Field CTO EMEA & APJ Rx bij Rubrik, is dit geen reden tot treuzelen. “Cyberdreigingen zijn ook vanaf volgend jaar niet plotseling anders.”
Verloy’s werkgever Rubrik vervult voor organisaties een kritieke functie, namelijk datasecurity en daarmee ook disaster recovery. Kortom: bij een cyberaanval leunen bedrijven mogelijk zwaar op Rubrik om weer operationeel te zijn. Precies die eis is waar NIS2 om draait; immers dwingt deze aanstormende wet organisaties ertoe om voorbereid te zijn op cyberaanvallen, om te rapporteren hoe ze zich wapenen en om te vertellen wanneer het fout gaat.
“Significant incident”
In België is NIS2 overigens al sinds 18 oktober van dit jaar in werking getreden, evenals in verschillende andere Europese lidstaten. Verloy stipt aan dat veel organisaties zich dus al wettelijk moeten houden aan NIS2. “Terughoudendheid kan erin sluipen” voor Nederlandse bedrijven, merkt Verloy op, maar dat is dus niet terecht. Niet alleen omdat NIS2 al geldt in sommige EU-landen, maar ook omdat een significant cyber-incident simpelweg voor grote schade kan zorgen, zij het financieel of reputationeel.
Wat is precies een “significant cyber-incident” binnen NIS2? Daarover moet de officiële wetgeving in Nederland nog uitsluitsel bieden, want dit kan verschillen van de Europese norm. Verloy benoemt één van deze definities, waarin een verlies van 250.00 euro of 5 procent van de jaaromzet een incident leidt tot het predikaat van een significant incident. Waarom zou dit in Nederland verschillen van bijvoorbeeld België? “Er zijn meer high-tech faciliteiten in Nederland [dan in België], zoals de cruciale Amsterdam Internet Exchange.”
Dit verklaart ook waarom NIS2 per EU-lidstaat moet worden omgezet van Europese richtlijn naar lokale wet. De impact van een cyberaanval is groter als het een entiteit treft met een internationale kritieke functie dan enkel een lokale partij. Je kunt niet één en dezelfde melddrempel geven voor zowel AMS-IX, door Verloy opgemerkt als een kritieke entiteit binnen Nederland in het bijzonder, als een Roemeens rioleringsbedrijf. Toch zullen beide partijen vallen onder NIS2, zij het binnen verschillende juridische kaders.
Meldplicht
Eén van de speerpunten van NIS2 is de meldplicht voor incidenten. Maar Verloy stelt dat de precieze aard van een incident regelmatig knap lastig is om te achterhalen. En ook de reactie hierop verschilt. “In het verleden spraken we enkel over de RTO (Recovery Time Objective). Kortom: hoe lang ben ik offline?” Verloy merkt een denkfout op die inmiddels, onder meer dankzij tools als Rubrik, verandert. “Wat heel vaak is vergeten, en nu mede via NIS2 scherp op het netvlies staat, is dat het herstellen van data slechts het eindpunt is. Voordat je je data herstelt, moet je de schaal van de aanval hebben begrepen. Welke diensten zijn beïnvloed? Welk type malware heb je mee te maken? Welke back-ups kan je in quarantaine plaatsen?” Pas als deze vragen beantwoord zijn, zo stelt Verloy, kan een herstel plaatsvinden. “Een herstel is niet een kwestie van op een knop drukken. Een incident moeten rapporteren brengt de complexiteit van IT-omgevingen onder de aandacht. Dat is alleen maar goed.” Anders vinden er nog steeds herstelpogingen plaats binnen organisaties terwijl malware nog altijd aanwezig is, zegt Verloy.
Maar hoe weet je wat de impact is? En hoe regelen organisaties dat in, zeker nu NIS2 ze dwingt tot rapportage? “Je hebt verschillende tooling nodig voor je bedrijfsomgeving. We hebben bij Rubrik gezien dat de basisconcepten worden gedekt door de grotere vendoren en er verder van best-of-breed producten gebruikgemaakt wordt. Dat matcht goed met NIS2”, aldus Verloy. Deze ontwikkeling binnen de security-wereld, ook wel bekend als platformisering, maakt volgens hem de vertaalslag van securityspecialisten naar de C-suite eenvoudiger.
Lees ook: Het securityplatform lonkt: wat is het en wat levert het op?
“Rubrik spreekt over data security context dat we via signalen van andere vendoren oppakken.” Verloy noemt als voorbeeld CrowdStrike, dat endpoint security-data aanlevert en de informatie van Rubrik ermee koppelt. “Een organisatie zit niet te wachten op twintig verschillende tools die allemaal een mening hebben over wat er gebeurd is binnen een omgeving.” Als securityteam krijg je nooit een direct ja-of-nee antwoord op de vraag of je iets wegens NIS2 moet rapporteren, maar moderne tools werken samen om de vraag eenvoudiger te beantwoorden.
Cyberweerbaarheid blijft een vraagstuk
Verloy geeft aan dat Rubrik steeds meer vragen over NIS2 en cyberweerbaarheid krijgt. In Nederland is dat goed te verklaren, want de wet is ondanks uitstel aanstaande. Vanuit België komen de vragen echter ook continu binnen. Maar: “Bedrijven die naar ISO27001 kijken, zijn waarschijnlijk voor 80 procent gedekt als het gaat om DORA- en NIS2-regelgeving”.
Naast back-up en recovery, zoals wat Rubrik aanbiedt, zijn er meer zaken nodig om echt voorbereid te zijn, zoals het uitvoeren van volledige risico-analyses, het instellen van MFA en een uitgebreid overzicht van de eigen cyberhygiëne. Dit alles wordt dus niet alleen door NIS2 afgedwongen, maar ook door DORA, dat vanaf begin 2025 in werking treedt.
Er is nog een andere reden waarom de vragen omtrent NIS2 onophoudelijk zijn. Verloy voorziet een toekomst waarin steeds meer organisaties worden aangestipt als kritiek. In België zijn het bijvoorbeeld circa 2.500 bedrijven die zich aan de NIS2-wet aldaar moeten houden. Maar de EU zal naar verwachting voortdurend de definitie van ‘kritiek’ uit willen breiden om de algehele cyberweerbaarheid van de Europese samenlevingen te versterken.
Voor bedrijven zelf gaat dit veel leed voorkomen, ook al zullen we vermoedelijk nooit een afname zien in het aantal compromissen. “Het zou een mooi signaal zijn als een bepaald incident in een enkel land voor betere proactieve bescherming zorgt in andere landen”, zegt Verloy. Een betere uitwisseling tussen EU-landen over cyber-incidenten beperkt de schaal van aanvalscampagnes. De securitywereld is natuurlijk al verweven doordat vendoren signalen wereldwijd oppikken, maar dit gaat dus ook via EU-rapportages verbeterd worden. Althans, dat is de bedoeling achter NIS2. Het is aan organisaties en controleurs om het ook echt tot verbetering van de algehele cyberveiligheid te laten leiden.
Tip: Hoe de nieuwe NIS2-richtlijn de OT-beveiliging verandert