Onlangs is de nieuwe securityrichtlijn NIS2 gelanceerd, die de cybersecurity eisen verhoogt voor alle Europese middelgrote en grote organisaties in kritieke sectoren. Onder de richtlijn vallen onder andere aanbieders van telecomdiensten en energievoorziening, beheerders van spoorweginfrastructuur, financiële dienstverleners, afval- en waterbeheerbedrijven, post- en koeriersdiensten, fabrikanten van medische hulpmiddelen en overheidsdiensten. Lokale wetgevers dienen nu de richtlijn om te zetten in nationale wetgeving.
De Nederlandse overheid heeft tot maart 2024 de tijd om de NIS2 richtlijn te implementeren in de nationale wetgeving. In de komende maanden zal er specifieke aandacht worden besteed aan handhaving en toezicht op de implementatie van NIS2. Zogenaamde ‘Competent Authorities’ zullen worden aangesteld om dit te bewerkstelligen en zullen naar verwachting moeten worden versterkt met extra kennis en expertise. Deze autoriteiten zullen de mogelijkheid hebben om op elk moment controles uit te voeren om te verifiëren of organisaties voldoen aan NIS2. Dit is een groot verschil ten opzichte van de GDPR wetgeving, waarbij organisaties alleen worden gecontroleerd in geval van een incident.
NIS2 omvat voorschriften voor diverse security maatregelen, variërend van 24/7 incident respons en preventie tot het handhaven van basale computerhygiëne, het trainen van werknemers, het gebruik van cryptografie, asset management, toegangscontrole en het opstellen van beleid en procedures voor incidenten en crisissituaties. Daarnaast moeten organisaties ook hun verantwoordelijkheid nemen ten aanzien van directe toeleveranciers in hun supply chain. Deze verantwoordelijkheid is expliciet uiteengezet en vereist concrete acties van de betrokken entiteiten ten opzichte van hun directe toeleveranciers. Bovendien moeten bestuurders zich bewust zijn van het feit dat zij persoonlijk aansprakelijk kunnen worden gesteld als blijkt dat de organisatie nalatig is geweest bij het nemen van passende maatregelen. Wat veel organisaties wellicht niet direct realiseren, is dat NIS2 ook van toepassing is op hun Operationele Technologiesystemen (OT), zoals machines.
De kwetsbaarheid OT-systemen neemt toe
Het is niet vreemd dat OT-systemen ook onder NIS2 vallen. Ze zijn te vinden in een groot aantal sectoren en voeren een breed scala aan taken uit, variërend van het bewaken van kritieke infrastructuur (CI) tot het besturen van robots op een productievloer. Steeds vaker zien we dat OT systemen worden gekoppeld aan IT-systemen waardoor er efficiënter gewerkt kan worden. Operationele processen worden dan ook in rap tempo geautomatiseerd en gedigitaliseerd. Allerlei data over deze processen worden verzameld en vormen de belangrijkste input om de productie te optimaliseren. Ze worden nauwkeurig en automatisch geanalyseerd en gebruikt om voorspellingen te doen over de performance, onderhoud, degradatie en efficiency. Bedrijven die data analyses, big data en machine learning modellen gebruiken om trends te herkennen, verbeteringen te signaleren en updates door te voeren, zijn sneller en beter in staat om hun performance te optimaliseren.
Echter brengt dit ook de nodige cyberrisico’s met zich mee. Het ongemerkt openzetten van de achterdeur in OT-systemen kan gevaarlijke situaties veroorzaken en een enorme maatschappelijke impact hebben. Veel operationele technologie ondersteunt immers onze vitale infrastructuur. Denk aan drinkwatervoorzieningen, elektriciteitsnetten, olie en gasvoorzieningen, de infrastructuur van onze communicatie en het openbaar vervoer. Een strategische cyberaanval kan tot grote maatschappelijke verstoringen leiden. Denk hierbij aan de recente cyberaanvallen van de ransomwaregroepering Lockbit op de havens van Lissabon en Nagoya. Cybercriminelen kunnen onze maatschappij flink ontwrichten en zijn dan ook als geen ander op de hoogte van deze zwakke plekken en maken dan ook graag misbruik hiervan.
Op zoek naar de juiste balans
Hoewel de intentie van de NIS2 richtlijn lovenswaardig is, kan de implementatie van de vereisten in OT-systemen uitdagend zijn. OT-omgevingen bestaan vaak uit complexe en diverse systemen, waarvan velen oorspronkelijk niet zijn ontworpen met cybersecurity in gedachten. Het aanpassen van deze systemen om te voldoen aan de vereisten van de richtlijn kan ingewikkeld zijn en vereist een zorgvuldige afweging van de operationele implicaties, mogelijke verstoringen en de compatibiliteit van beveiligingsmaatregelen met bestaande infrastructuur. De balans tussen security en operationele continuïteit is dan ook één van de belangrijkste zaken om rekening mee te houden bij het implementeren van de NIS2 richtlijn in OT-systemen. OT-systemen vertrouwen op continue dataverzameling en realtime handelingen, waardoor eventuele verstoringen schadelijk kunnen zijn.
Organisaties zullen daarom zorgvuldig security maatregelen moeten evalueren en implementeren die in overeenstemming zijn met hun operationele vereisten. Om te voorkomen dat cybercriminelen succesvolle aanvallen uitvoeren, moeten organisaties rekening houden met enkele belangrijke factoren.
Allereerst is het verstandig om in kaart te brengen waar de risico’s zich bevinden. Dit kunnen organisaties realiseren door een securitybeleid op te stellen en een risicoanalyse uit te voeren. Op deze manier kan op een gestructureerde manier in kaart worden gebracht hoe een organisatie zijn waardevolle assets,zoals data en processen, het beste kan beschermen. Door erachter te komen waar de zwakheden zich bevinden in het netwerk, kunnen er sneller en betere maatregelen worden genomen. Neem in het securitybeleid ook een incident response plan op. Daarnaast is het belangrijk dat medewerkers goed op de hoogte worden gesteld van de risico’s en de digitale belangen van het bedrijf. Door medewerkers voor te lichten en bewust te maken over de risico’s en welke handelingen ze moeten uitvoeren kunnen aanvallen worden voorkomen.
Naast de mens speelt uiteraard ook de juiste technologie een belangrijke rol om cyberaanvallen te voorkomen en te voldoen aan NIS2. Kies daarom altijd voor een oplossing met een ‘agentloze architectuur’. Hierdoor hoeven organisaties geen aparte software meer te installeren op hun operationele technologie assets. Ten tweede moeten aanpassingen in deze omgeving altijd worden getest, voor implementatie. Bovendien kan het cyberveilig maken van IT apparatuur in operationele omgevingen worden geautomatiseerd zodat de onderhoudstijd wordt teruggebracht.
Daarnaast zorgt geautomatiseerde cyberbeveiliging er ook voor dat gebruikers real-time en voortdurend gedetailleerde informatie over de aanwezige assets in de IT-infrastructuur krijgen. Op deze manier kan er sneller en efficiënter worden gereageerd op dreigingen en is de kans op menselijke fouten kleiner. Bovendien kunnen dankzij automatisering alle wijzigingen, zoals configuraties, updates en revisies, automatisch gecontroleerd en vergeleken worden met de databases om bekende kwetsbaarheden in real-time te detecteren. Verder is het implementeren van beschermings- en verhardingsmaatregelen van cruciaal belang. Hardenen houdt in dat het computersysteem zodanig wordt dichtgetimmerd en beschermd dat het alleen de primaire functie waarvoor het bedoeld is kan uitvoeren. Op deze manier zijn assets beveiligd tegen ontbrekende patches, verkeerd geconfigureerde services en andere beveiligingsproblemen..
Een belangrijk onderdeel van de NIS2 richtlijn is de nadruk op samenwerking en informatie uitwisseling tussen EU-lidstaten. Deze samenwerking bevordert de uitwisseling van beste cases, lessen en dreigingsinformatie, waardoor organisaties gezamenlijk hun cybersecurityniveau kunnen versterken. Het opzetten van effectieve kanalen voor samenwerking en het zorgen voor tijdige en relevante informatie-uitwisseling tussen belanghebbenden kan echter logistieke en technische uitdagingen met zich meebrengen die moeten worden overwonnen om optimaal te profiteren van de voordelen van deze samenwerking.
Op naar een proactieve aanpak
De NIS2 richtlijn zorgt ervoor dat we terecht komen in een nieuw tijdperk van proactieve OT-security. Organisaties worden aangemoedigd om zich beter voor te bereiden op cyberaanvallen, uitgebreide risico evaluaties uit te voeren, medewerkers cyberbewust te maken en robuuste security maatregelen te implementeren. Hierdoor kunnen we een veiligere digitale toekomst waarborgen.
2 dagen geleden
