In de afgelopen jaren is er veel wet- en regelgeving bijgekomen om security en verantwoordelijkheid te garanderen bij het voortdurende streven van organisaties naar snelle technologische innovatie. De EU heeft hierbij het voortouw genomen. Eerst met de AVG en nu met de NIS2-richtlijn.
NIS2 is tot nu toe de meest uitgebreide cybersecurityrichtlijn van de EU en zelfs van de hele wereld. Het is een verdere ontwikkeling van een verordening die in 2016 werd geïntroduceerd om strengere eisen af te dwingen rond risicobeheer en het melden van cybersecurityincidenten. In NIS2 is het aantal sectoren dat zich moet houden aan de richtlijn flink uitgebreid en zijn de straffen voor organisaties die zich niet aan de richtlijn houden verzwaard. NIS2 moet op 17 oktober 2024 zijn omgezet in nationale wetgeving, organisaties hebben dus nog minder dan een jaar om zich voor te bereiden. Aangezien het goed inrichten van complianceprocessen gemiddeld ongeveer 12 maanden in beslag nemen en veel organisaties nog steeds worstelen met dit soort strenge eisen, is er geen tijd te verliezen.
Een enorme uitdaging
Organisaties over de hele wereld zien steeds meer cyberaanvallen. Naarmate de technologie die wordt gebruikt om innovatie aan te sturen intelligenter en krachtiger wordt, nemen ook de methoden van de aanvallers toe. NIS2 moet ervoor zorgen dat organisaties beter beschermd zijn tegen aanvallen die steeds geavanceerder worden en vaker plaatsvinden. De strenge eisen zijn echter ontmoedigend, vooral voor die sectoren en organisaties die nog niet eerder aan zulke strenge regels hoefden te voldoen.
NIS2 stelt bijvoorbeeld zeer strakke deadlines voor het melden van cybersecurityincidenten. Organisaties zijn verplicht om binnen 24 uur een eerste melding van een incident te doen en moeten binnen 72 uur een meer gedetailleerde melding doen. Deze melding moet een eerste beoordeling van het incident bevatten, met vermelding van de ernst, de impact en de zogenaamde ‘indicators of compromise’. Na een maand moet er een eindrapport worden ingediend, dat ervoor moet zorgen dat organisaties kunnen leren van eerdere incidenten.
Deze eisen onderstrepen dat het voor een organisatie niet langer voldoende is om aan te tonen dat ze gecontroleerd kunnen worden wanneer daarom wordt gevraagd. Ze moeten nu laten zien dat ze securityincidenten kunnen onderzoeken en dat de organisatie daar snel en effectief op kan reageren. Bij de huidige staat van cybersecurity is het voor securityteams echter vrijwel onmogelijk om deze deadlines te halen als ze niet over de juiste tools beschikken.
Mensen alleen volstaan niet
Wanneer organisaties worden geconfronteerd met nieuwe security- en compliance-eisen, is hun eerste reactie meestal om meer mensen in te zetten. Hoewel het belangrijk is om over de juiste kennis en skills te beschikken om compliant te worden en te blijven, is dit uiteindelijk geen houdbare aanpak – er zijn simpelweg niet genoeg securityspecialisten. NIS2 zal dit tekort aan expertise verder verergeren, door het enorme aantal organisaties dat ermee te maken krijgt. De organisaties die het zich kunnen veroorloven om grote securityteams in te huren, zullen al het talent opslokken voordat anderen de kans krijgen. Organisaties die zich dit niet kunnen veroorloven hebben dan een probleem.
De complexe aard van multicloud-omgevingen en het streven naar ‘cloud native’ oplossingen creëert extra uitdagingen rond NIS2-compliance, omdat het de manier waarop teams cybersecurity benaderen drastisch heeft veranderd. Software wordt nu continu ontwikkeld, met meer releases en kortere testcycli voor securityteams. Daarmee neemt de kans toe dat die teams kwetsbaarheden over het hoofd zien. Uit onderzoek bleek dat slechts 50% van de CISO’s er volledig op vertrouwt dat hun software volledig is getest op kwetsbaarheden voordat deze live gaat.
Een slimme oplossing
Om te voldoen aan de vereisten van NIS2 en robuust beheer van kwetsbaarheden en incidenten mogelijk te maken, is het essentieel de analyse- en rapportageprocessen rond security te optimaliseren en te automatiseren. Het is voor mensen onmogelijk om met een handmatige aanpak de mate van detail en nauwkeurigheid over cybersecurityincidenten te bieden die NIS2 vereist, binnen de gestelde deadlines. Organisaties hebben real-time gegevens over hun securitystatus en end-to-end inzicht in hun hybride, multicloud omgeving nodig.
Dit kan alleen worden bereikt door security en observability data samen te voegen en de analyse van runtime kwetsbaarheden te automatiseren. Organisaties krijgen hiermee inzicht in de ernst en impact van incidenten. Gewapend met deze inzichten kunnen teams direct de urgentie van kwetsbaarheden beoordelen en identificeren welke systemen zijn getroffen – essentiële voorwaarden voor vroegtijdige waarschuwingsrapporten. Ze beschikken daarmee ook over inzichten in hoe ze problemen het beste kunnen aanpakken en oplossen, zodat ze snel kunnen handelen. Om deze informatie te verzamelen in het korte tijdsbestek dat nodig is om te voldoen aan NIS2, moeten securityteams de betreffende processen automatiseren om deze inzichten te verzamelen en te combineren tot rapporten en incidentmeldingen.
Kijk verder dan compliance
Organisaties zouden ook moeten kijken hoe ze al deze mogelijkheden verder kunnen uitbreiden en inzetten, zodat ze verder kunnen gaan dan NIS2-compliance. In plaats van zich alleen te richten op het opsporen en rapporteren van problemen, moeten ze er ook naar streven om te voorkomen dat deze er überhaupt komen, via een ‘secure by default’ mentaliteit. Dit betekent een verschuiving naar links om ervoor te zorgen dat security een kritiek onderdeel is van de levenscyclus in softwareontwikkeling. Veel organisaties zullen beweren dat ze daar al mee bezig zijn, maar de meeste doen dat handmatig en zonder end-to-end inzicht, waardoor de impact beperkt is. Security- en ontwikkelteams moeten bijvoorbeeld nauw met elkaar samenwerken om ervoor te zorgen dat software niet al in een vroeg stadium wordt gepromoot, tenzij beide teams ervan overtuigd zijn dat het veilig is.
Geautomatiseerde kwaliteits- en securitychecks zijn een uitstekende manier om het handmatige werk te elimineren dat bij dit proces komt kijken. Door deze mogelijkheden te combineren met observability data kunnen kwetsbaarheden of fouten automatisch worden ontdekt, zodat ontwikkelaars ze kunnen oplossen voordat de code naar de volgende opleveringsfase gaat.
De tijd om actie te ondernemen is nu
De deadline voor NIS2 nadert snel en met de strenge en verreikende eisen kunnen organisaties het zich niet veroorloven om te wachten. Regelgevers zullen alleen maar strenger worden op het gebied van cybersecurity. Het is nu tijd voor organisaties om in actie te komen door ervoor te zorgen dat ze beschikken over het inzicht en het overzicht dat ze nodig hebben om de compliance-eisen voor te blijven.
Dit is een ingezonden bijdrage van Dynatrace. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.
17 uur geleden
