We leven in een wereld waarin vervoer, energie, gezondheid, telecommunicatie, financiën, veiligheid, democratische processen, ruimtevaart en defensie sterk afhankelijk zijn van steeds meer onderling verbonden netwerk- en informatiesystemen. We leven ook in een wereld waar geopolitieke spanningen steeds verder oplopen en kwaadaardige aanvallen op kritieke infrastructuren een concreet en wereldwijd risico vormen.
Het belang van cybersecurity
Het veilig gebruiken van digitale hulpbronnen is nodig voor het creëren van betere en flexibelere banen, efficiënter en duurzamer vervoer en landbouw, eerlijkere toegang tot gezondheidsdiensten, om de overgang naar schonere energie te verwezenlijken en fundamentele rechten en vrijheden te waarborgen, waaronder privacy, bescherming van persoonsgegevens en vrijheid van meningsuiting en informatie.
Cybersecurity, in zijn rol als essentiële enabler voor netwerkconnectiviteit en een wereldwijd en open internet, vormt de kern van de transformatie van de economie en de samenleving.
Toch hebben de landen van de Europese Unie (EU) tot nu toe moeite gehad met het creëren van een collectief bewustzijn over cyberdreigingen en verzamelen en delen zij niet systematisch informatie die inzicht geeft in de staat van cybersecurity in de EU. Er is ook geen operationeel mechanisme tussen de lidstaten en de instellingen, agentschappen en organen van de EU dat gezamenlijk actie neemt in geval van cyberincidenten of grootschalige grensoverschrijdende crises.
Het belang hiervan dringt langzaam door en heeft onlangs het optreden van Europa ter voorbereiding op nieuwe regelgevings-, investerings- en beleidsinstrumenten versneld. Om deze strategie te ondersteunen, zijn er sinds eind 2020 grote investeringen gedaan in de digitale transitie en tegelijkertijd zijn er ook belangrijke stappen gezet in de richting van regelgeving met betrekking tot cybersecurity.
De twee meest recente voorbeelden hebben betrekking op wet- en regelgeving die de lidstaten tussen eind 2024 en begin 2025 moeten omzetten.
Wat is er nieuw in de NIS2-richtlijn
De EU-richtlijn 2022/2555, meestal aangeduid als de NIS2-richtlijn (Network and Information Systems), is de actualisering van de richtlijn van 2016 inzake netwerk- en informatiesystemen (NIS) en moet uiterlijk in oktober 2024 door alle 27 EU-lidstaten in hun nationale wetgeving zijn opgenomen. Deze richtlijn is ontworpen als reactie op verschillende grootschalige en zeer schadelijke cyberaanvallen en introduceert strengere eisen en controles op het gebied van cyberbeveiliging en risicobeheer, waaronder beveiliging van de toeleveringsketen, versleutelingstechnologieën, HR-georiënteerde beveiliging, toegangscontrole en beleid voor activabeheer, Zero Trust-toegang (multifactorauthenticatie, continue authenticatie). Daarnaast voorziet de richtlijn in strengere verplichtingen voor het melden van incidenten en legt zij zware sancties op, met de mogelijkheid voor de lidstaten om boetes op te leggen tot 10 miljoen EUR of 2% van de jaaromzet (inkomsten) voor bepaalde inbreuken.
De herziening van de richtlijn is onder meer bedoeld om organisaties die als “kritiek” worden beschouwd, beter te beschermen tegen risico’s die verband houden met kwetsbaarheid in de toeleveringsketen, ransomware-aanvallen en andere cyberdreigingen.
Een van de eerste en belangrijkste innovaties die door NIS2 is geïntroduceerd, is de toepasbaarheid ervan op een groter aantal industriële sectoren, waaronder aanbieders van openbare elektronische-communicatienetwerken of -diensten, productie van kritieke producten (medische apparatuur, computers, elektronica, motorvoertuigen), digitale dienstverleners (sociale netwerkplatforms, zoekmachines, onlinemarktplaatsen), post- en koeriersdiensten.
In tegenstelling tot de oorspronkelijke richtlijn zijn de cyberbeveiligingseisen van NIS2 niet alleen van toepassing op organisaties die werken binnen de uitgebreide definitie van “kritiek” en hun directe werknemers, maar ook op onderaannemers en de serviceproviders die hen ondersteunen.
Bovendien is NIS2 van toepassing op elke entiteit die noodzakelijke diensten verleent binnen een EU-lidstaat, ongeacht de locatie. Met andere woorden, elk bedrijf dat buiten de EU is gevestigd, kan onderworpen zijn aan NIS2, zelfs als het geen fysieke aanwezigheid in de EU heeft.
Voorbereiding op NIS2
In afwachting van de afronding van het regelgevingskader door de lidstaten, kunnen al enkele eenvoudige concrete stappen ter voorbereiding op NIS2 worden genomen:
- risico’s identificeren, beoordelen en aanpakken;
- de beveiligingspositie beoordelen;
- maatregelen nemen om bevoorrechte toegang te waarborgen;
- versterk de verdediging tegen ransomware met behulp van endpoint privilege security en detection and response (XDR)-oplossingen;
- overstappen op een Zero Trust architectuur;
- de software supply chain onderzoeken;
- formaliseren van een incident response plan;
- het opleiden van personeel.
DORA: meer zekerheid voor de financiële wereld
Een andere verordening waar Europese landen binnenkort mee te maken krijgen, is de Digital Operational Resilience Act (DORA), die de cybersecurity en digitale weerbaarheid van financiële dienstverleners moet verhogen. Deze verordening wordt vanaf 17 januari 2025 bindend.
Het toepassingsgebied van beschermingsmaatregelen wordt uitgebreid. De beveiliging is een complexe kwestie met verschillende integratieniveaus, zowel technologisch als op het gebied van bedrijfsprocessen.
Om deze reden is DORA niet alleen van toepassing op traditionele financiële instellingen zoals banken, beleggingsondernemingen en verzekeringsmaatschappijen, maar ook op bedrijven die zich bezighouden met crypto-assetdiensten en op degenen die clouddiensten leveren aan de bovengenoemde bedrijven.
DORA eist van organisaties een reeks maatregelen die controles op kritieke leveranciers verscherpen, die zorgen voor een effectievere en tijdige rapportage van incidenten en voor een tijdige analyse van werkelijke resultaten in vergelijking met verwachte resultaten om strategieën, processen, technologieën of vaardigheden te identificeren die niet optimaal zijn of die blootstellen aan kwetsbaarheden en/of het risiconiveau doen toenemen.
Aanwijzingen voor de interventie
Het eerste fundamentele thema is dat van ICT Governance, dat moet worden nagestreefd door risicobeheerstrategieën beter op elkaar af te stemmen. Soortgelijke eisen worden gesteld aan ICT-risicobeheer met als doel de regels hiervoor te verbeteren en te harmoniseren.
Nieuw is de expliciete vraag om een reeks tests uit te voeren die continue de veerkracht verifiëren, waaronder detectie en beoordeling van kwetsbaarheden, open source-analyse en broncodebeoordelingen.
Daarnaast zijn financiële entiteiten verplicht om vóór elke introductie of herintroductie van nieuwe of bestaande diensten kwetsbaarheidsbeoordelingen uit te voeren en alle kritieke applicaties en systemen jaarlijks te testen.
De risicoanalyse moet zich ook uitstrekken tot derden die verplicht worden om de essentiële elementen van de dienst te harmoniseren in alle fasen van de contractuele actie: bepaling, uitvoering, beëindiging en postcontractuele fase.
De DORA-richtlijn legt ook specifieke verplichtingen op met betrekking tot het beheer van ICT-incidenten in overeenstemming met een specifieke mapping die is gedefinieerd door de Europese toezichthoudende autoriteiten.
Tot slot is ook het verzoek om informatie-uitwisseling opgenomen in de richtlijn, wat hopelijk gaat leiden tot steeds meer samenwerking op het gebied van cybersecurity tussen de lidstaten.
Klik hier om te ontdekken hoe wij u kunnen helpen om aan deze richtlijnen te voldoen.
Dit is een ingezonden bijdrage van OpenText Cybersecurity.
1 dag geleden
