EU scherpt cyberrichtlijn uit 2016 aan

In 2016 kwam de Europese Unie (EU) met de eerste cyberrichtlijn, de Directive on security of network and information systems (NIS). Nu, 6 jaar later, komt de EU met NIS2. Wat is het doel van NIS2? En hoe verschilt deze van de NIS-richtlijn uit 2016?

De eerste NIS-richtlijn

De eerste NIS-richtlijn was een reactie op de groeiende cyberdreigingen in de Europese Unie. Het doel was om een algemeen niveau van veiligheid te waarborgen voor kritische sectoren en infrastructuur binnen Europa.

• De NIS-richtlijn moest ten eerste zorgen voor paraatheid van de lidstaten. De lidstaten werden namelijk verplicht om adequaat voorbereid en uitgerust te zijn, door onder andere de oprichting van een nationale NIS-autoriteit.
• Ten tweede moest de richtlijn zorgen voor samenwerking tussen de lidstaten op het gebied van cyber(veiligheid). De NIS Cooperation Group die toen is opgericht, kreeg als doel om een zo hoog mogelijk gezamenlijk niveau van veiligheid te halen voor netwerken en informatiesystemen binnen de Europese Unie. Hierdoor kunnen informatie en kennis snel en makkelijk onderling worden gedeeld.
• Ten derde moest de NIS-richtlijn zorgen voor een veilige cybercultuur binnen de vitale sectoren (zowel publiek als privaat) van de Europese economie en samenleving. Het ging met name om sectoren die veel leunen op ICT-systemen. Dat zijn onder andere energie, transport, banken, financiële instellingen, zorg, drinkwaterlevering en digitale infrastructuur.

Revisie van cyberrichtlijn: NIS2

Cyberdreigingen veranderen voortdurend en nemen ook toe. Daardoor werd een revisie van de eerste NIS-richtlijn nodig. De coronapandemie maakte een revisie nog urgenter.

Wat houdt de revisie in?

Eigenlijk is de wetgeving niet zo zeer veranderd, maar vooral uitgebreid. De tweede NIS-richtlijn moet het niveau van cyberweerbaarheid van de verschillende sectoren verhogen. Ook komen er nieuwe sectoren bij op de lijst van vitale sectoren. De lijst is gegroeid van 19 naar 35 sectoren. Voorbeelden van nieuwe sectoren zijn afvalverwerking, chemische productie en agrifood. In heel Europa gaat het om ongeveer 160.000 organisaties extra die moeten voldoen aan de NIS-vereisten. Ook in Nederland zal er dus voor veel bedrijven een extra eisenpakket komen. Dat geldt ook voor kleine mkb’ers in deze essentiële sectoren.

Strengere eisen cybersecurity

Belangrijk is dat de vereisten in NIS2 strenger worden. Organisaties moeten onder andere ten minste het volgende geregeld hebben:

• implementeren van Multi Factor Authenticatie (MFA);
• procedures en plannen hebben over business continuity en crisismanagement;
• beleid hebben op het gebied van de beoordeling van de effectiviteit van cyberveiligheid en risicomanagement; en
• cryptografie en encryptie gebruiken.

Incidentresponse: rapporteren beveiligingsincidenten

Verder komt er met de NIS2 ook een tweestapsproces voor het rapporteren van beveiligingsincidenten:

• De eerste stap: een organisatie die te maken krijgt met een incident moet het incident melden binnen 24 uur door middel van een voorlopig rapport.
• De tweede stap: de organisatie moet een definitief rapport inleveren binnen een maand vanaf de ontdekking van het incident. De verwachting is dat veel organisaties hier moeite mee zullen hebben. Vaak zullen ze namelijk de hulp moeten inroepen van sterk gespecialiseerde ICT-(security)mensen, die erg schaars en kostbaar zijn.

 
Hier ligt een kans voor cyberverzekeraars. Wellicht kan de incidentresponse die op veel cyberverzekeringen zit, met een 24/7-hulplijn, uitkomst bieden. Via de hulplijn kunnen experts worden ingeschakeld voor ICT-forensisch onderzoek en crisismanagement, juridische bijstand en PR.

NIS2 en cyberverzekeraars

Een organisatie die aan de NIS2-richtlijn voldoet, voldoet niet automatisch ook aan de eisen voor een cyberverzekering. De eisen van de meeste cyberverzekeraars gaan inmiddels verder.

Waar kijken cyberverzekeraars naar?

Verzekeraars verwachten van hun verzekerden een goede basishygiëne met betrekking tot cyber: zowel het voorkomen van incidenten als het managen van incidenten. In veel gevallen kan er anders geen verzekering worden afgesloten.

Deze basishygiëne bestaat uit 12 controls, waarvan de NIS2 er al 4 voorschrijft: MFA, business continuity en crisisplannen, beleid op de effectiviteit van cyberbeveiliging en encryptie.
Daarnaast vragen verzekeraars het volgende:

• E-mailfilteringsoftware: om spam en phishingmails buiten te houden en onveilige websites te blokkeren.
• Privileged Access Management: voor identificatie van de mensen, processen en technologie die uitgebreide toegang nodig hebben en specificatie van de beleidsregels die daarop van toepassing zijn.
• Endpoint Detection and Response (EDR): tooling die zich richt op het detecteren en onderzoeken van verdachte activiteiten op de werkplekken.
• Patch and Vulnerability Management: het corrigeren van problemen in software, inclusief beveiligingslekken en het continue proces van het identificeren, classificeren en prioriteren van kwetsbaarheden om zo inzicht in risico's te krijgen.
• Cyberveiligheidstrainingen en phishingtests voor werknemers, invoeren van best practices, tools en technieken op onder ander Remote Desktop Protocol (RDP).
• Het loggen en monitoren van activiteiten op het netwerk, om snel te kunnen handelen in het geval van een cyberincident.
• Het vervangen of beschermen van zogenoemde ‘end of life’-systemen (systemen waar geen (beveiliging)updates voor worden ontvangen).

Toegevoegde waarde van NIS2 voor de cyberverzekeringsmarkt

De toegevoegde waarde van NIS2 voor de cyberverzekeringsmarkt is wel dat
organisaties door de NIS2-vereisten meer een risk based approach zullen moeten hebben bij cyberrisico’s. Hoe maak je bijvoorbeeld anders een juiste beoordeling van de effectiviteit van cyberveiligheid en risicomanagement? Bij veel organisaties is dat er nog niet. Het cyberrisico moet juist van meerdere kanten bekeken worden. Naast ICT zouden ook de CFO, HR, Juridische Zaken, Sales en Compliance met dit risico bezig moeten zijn, waardoor cyberriskmanagement een breed gedragen verantwoordelijkheid wordt. NIS2 ‘dwingt’ organisaties om cyberrisico’s ook breder te benaderen. Dat kan de deur openen naar een beter gesprek over hoe de restrisico’s te managen, bijvoorbeeld door het sluiten van een cyberverzekering.

Implementatie cyberrichtlijn in Nederland

De NIS2 is een Europese richtlijn en moet nu worden omgezet naar nationale wetgeving. De Nederlandse overheid heeft daarvoor 21 maanden de tijd. Dus vóór maart 2024 moet de Nederlandse wetgeving in werking treden.

Meer informatie over cyberveiligheid en cyberverzekeringen

• Dit artikel is een verkorte versie van het artikel van Sjaak Schouteren en Maartje Wijnker, verschenen in de Beursbengel, nr. 920 (2022).
• Lees meer over NIS2

 
NIBE-SVV heeft diverse opleidingen waarin cyberveiligheid en cyberverzekeringen aan bod komen:

• Security Awareness
• The Next Insurer: Vision and Strategy
• Masterclass Data Protection
• Masterclass Security, Privacy & Compliance
• HBO Data Protection Officer (DPO)
• HBO Security Management
• Informed Data-driven Insurance