In tijden van veel onzekerheid is het cruciaal dat kritieke infrastructuur veerkrachtig is. Daarom wil de Europese Unie zijn essentiële diensten beter bestand maken tegen verstoringen. De Critical Entities Resilience (CER)-richtlijn is een raamwerk dat ervoor moet zorgen dat de systemen en diensten waar we elke dag op vertrouwen robuust blijven.
Het ontstaan en het doel van CER
De Europese Critical Infrastructure-richtlijn legde in 2008 de basis voor de bescherming van kritieke sectoren zoals energie en transport. Maar de dreigingen zijn steeds complexer geworden en de kritieke infrastructuur van Europa is meer dan ooit onderling verbonden met en afhankelijk van elkaar. Eén verstoring kan een heftige kettingreactie teweegbrengen in andere sectoren.
De CER-richtlijn van eind 2022 is uitgebreider en moet ervoor zorgen dat de kritieke infrastructuur van Europa bestand is tegen veel verschillende risico’s, die een bedreiging vormen voor de veerkracht van essentiële diensten. Belangrijke bedreigingen waar essentiële organisaties in de EU op voorbereid moeten zijn, zijn natuurrampen, terroristische aanslagen, insider threats, sabotage (bijvoorbeeld van elektriciteitsnetten), grote gezondheidscrises en hybride dreigingen (een combinatie van conventionele en niet-conventionele tactieken, zoals desinformatie en economische dwang).
De CER-richtlijn richt zich op entiteiten in elf sectoren die essentieel zijn voor het functioneren van de maatschappij en de economie, namelijk energie, vervoer, banken, infrastructuren voor de financiële markten, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, openbaar bestuur, ruimte en de productie/verwerking/distributie van voedsel. Deze sectoren zijn essentieel omdat een verstoring van hun diensten enorme gevolgen kan hebben, ook voor meerdere EU-lidstaten. Daarom is het belangrijk om te zorgen voor cyber veerkracht. De CER verplicht elke lidstaat om zijn kritieke entiteiten binnen deze sectoren te identificeren en ervoor te zorgen dat ze passende maatregelen nemen tegen dreigingen.
Belangrijkste verplichtingen
Organisaties die zijn aangemerkt als kritieke entiteiten hebben een aantal verplichtingen om ervoor te zorgen dat ze de risico’s kennen en actief werken aan het beperken ervan.
- Risicobeoordelingen: ze moeten uitgebreide risicobeoordelingen uitvoeren die rekening houden met natuurlijke en door de mens veroorzaakte risico’s.
- Implementatie van veerkrachtmaatregelen: op basis van risicobeoordelingen moeten organisaties technische, beveiligings- en organisatorische maatregelen treffen.
- Melding van incidenten: ze moeten relevante autoriteiten op de hoogte brengen van incidenten die essentiële diensten aanzienlijk (kunnen) verstoren. Deze melding moet zonder onnodige vertraging gebeuren, en niet later dan 24 uur nadat de entiteit zich bewust werd van het incident.
- Toezicht en naleving: nationale autoriteiten zullen toezicht houden op kritieke entiteiten om ervoor te zorgen dat de CER-richtlijn wordt nageleefd. Bijvoorbeeld door regelmatige audits, inspecties en het opleggen van sancties voor niet-naleving. De verantwoordelijkheid voor het bepalen van sancties ligt bij individuele EU-lidstaten wanneer zij de richtlijn omzetten in nationale wetgeving.
- Ontwikkelen van weerbaarheidsplannen: entiteiten moeten hun veerkrachtstrategieën vastleggen in formele plannen, die regelmatig moeten worden herzien en bijgewerkt zodat ze passen bij het veranderende dreigingslandschap.
- Een contactpersoon aanwijzen: voor duidelijke communicatielijnen tijdens incidenten of nalevingscontroles moeten organisaties een contactpersoon aanwijzen voor de communicatie met de nationale autoriteiten.
- Achtergrondcontroles van personeel: om insider threats te beperken, zijn entiteiten verplicht om achtergrondcontroles uit te voeren op personeel met gevoelige functies, met name personeel dat toegang heeft tot kritieke infrastructuur of gevoelige informatie.
De CER-richtlijn geeft de EU-lidstaten ook verantwoordelijkheden. Overheden moeten elke vier jaar, voor elke sector, risicobeoordelingen uitvoeren en de resultaten delen met relevante, kritieke entiteiten. Ook moeten overheden de entiteiten ondersteunen door advies te geven, informatie te delen en tools en resources aan te bieden die de cyber resilience vergroten.
BC-DR om veerkracht te garanderen
Dit alles maakt dat het belangrijk is dat kritieke entiteiten robuuste strategieën voor Business Continuity (BC) en Disaster Recovery (DR) meenemen in hun veerkrachtplanning. Een van de belangrijkste strategieën om kritieke gegevens te beschermen is door replicatiemechanismen te implementeren binnen en tussen locaties. Door bidirectionele en drieweg synchrone spiegels op te zetten worden gegevens niet alleen lokaal geback-upt, maar ook gerepliceerd op meerdere locaties. Dit zorgt voor een onmiddellijke failover naar een secundair systeem/locatie bij een storing, waardoor downtime wordt voorkomen en essentiële diensten blijven functioneren. Kritieke entiteiten kunnen ook DR-kopieën maken via asynchrone replicatie, zodat gegevens met minimale vertraging naar een externe locatie worden gekopieerd. Zo is er altijd een recente versie van de gegevens beschikbaar voor herstel, zelfs als de primaire locatie is aangetast.
Naast deze replicatiestrategieën is het essentieel om back-ups, snapshots en Continuous Data Protection (CDP) te gebruiken om systemen te herstellen in het geval van gegevensverlies. Met deze technologieën kunnen kritieke entiteiten snel herstellen van datacorruptie, cyberaanvallen of fysieke schade, zodat de continuïteit van essentiële diensten behouden blijft en de impact van een verstoring wordt geminimaliseerd.
Een veerkrachtige toekomst voor Europa
De CER-richtlijn is een cruciale stap naar een veerkrachtige toekomst voor Europa. Onze kritieke infrastructuur moet bestand zijn tegen elke verstoring en daarvan kunnen herstellen. Door proactief dreigingen aan te pakken en robuuste maatregelen voor cyber resilience te implementeren, legt de CER-richtlijn de basis voor een veiliger en veerkrachtiger Europa.
De CER-richtlijn is sinds 17 oktober 2024 geldig in de Europese Unie. In Nederland is het niet gelukt om de EU-richtlijn op tijd om te zetten in nationale wetgeving. De verwachting is dat de CER in het derde kwartaal van 2025 in werking treedt. De Rijksoverheid roept organisaties echter nadrukkelijk op om nu al aan de slag te gaan en niet te wachten tot de CER in werking is getreden. De risico’s die organisaties en systemen bedreigen, zijn er nu immers al.
Dit is een ingezonden bijdrage van DataCore. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.