Verslag FERM NIS2-event: nieuwe wetgeving als gamechanger

NIS staat voor netwerk- en informatiesystemen. In Europa is nu nog de ‘NIS1 directive’ van kracht, een wet specifiek voor essentiële bedrijven, zoals water- en telecombedrijven. Ook de afhandeling van het scheepvaartverkeer van Havenbedrijf Rotterdam valt binnen deze richtlijn. Na stemming in het Europees Parlement wordt de richtlijn dit najaar gepubliceerd en kan deze voor medio 2024 worden omgezet in nationale wetgeving.

Uiteraard wachten we dat niet zonder voorbereiding af! Immers is de komst van de nieuwe NIS2-doorvertaling een gamechanger op drie gebieden:

  • er gaan zo’n 150 bedrijven in het gebied van haven en industrie onder vallen (onder NIS1 was dat er maar 1(!)); 
  • het omhelst niet alleen de voorwaarde dat je je eigen cyberweerbaarheid onder controle hebt, maar bevat ook verplichtingen richting je keten en leveranciers;
  • ook kunnen bestuurders verantwoordelijk worden gehouden bij incidenten, waarbij mogelijke boetes niet mals zijn.

Daarom organiseerden we donderdag 3 november het NIS2-event, waar we bij dezen graag nog even op terugblikken. Ook vind je onderaan de pagina de presentaties van onze sprekers. Dat waren Patrick van de Heisteeg van het Ministerie van Infrastructuur en Waterstaat en Directie Maritieme Zaken | Zeehavens, Hugo van Aardenne en Jouko Barensen van Ploum Advocaten en Vincent Schijven van TÜV Nederland, hier in zijn rol als CYRA-ambassadeur (foto boven). Ook schoof er een kwartet experts aan bij dagvoorzitter Chris van ’t Hof voor een paneldiscussie: Mark de Pater (Havenbedrijf Rotterdam), Gerco Kanbier (Portbase), Geert Janssens (Loodswezen) en Dorijn Boogaard (ESET Nederland).

Van NIS1…

Onder NIS1 zijn aanbieders van essentiële diensten en digitale partijen door de overheid al aangewezen om maatregelen te nemen voor hun digitale veiligheid en om ernstige incidenten te melden. Vanaf naar verwachting juli 2024 wordt het aantal sectoren en organisaties fors uitgebreid. De NIS2 moet dan namelijk onderdeel zijn van de Wet beveiliging netwerken en informatiesystemen (Wbni). De NIS is een richtlijn (op Europees niveau), maar wordt op landelijk niveau wel in de wetgeving verwerkt – en dat is doorgaans geen kort traject.

De NIS1, of beter gezegd de omzetting naar de Wbni, is van kracht sinds 2016, maar ‘al’ in 2020 werd er een aanpassing voorgesteld. We schrijven ‘al’ tussen aanhalingstekens, omdat slechts 4 jaar niet heel lang is voor politieke aanpassingen. Tegelijkertijd is 4 jaar in cyberland een zee van tijd. De digitalisering is een zeer dynamisch proces, en dat geldt ook voor toenemende dreigingen die daarmee hand in hand gaan. Een groot deel van de bedrijven in de haven valt nu nog niet onder Wbni. Daar is geen toezicht op, en zij hebben veelal geen toegang tot dreigingsinformatie (tenzij ze bij FERM zijn aangesloten).

…naar NIS2

De beoogde aanpassing wordt nu werkelijkheid met de komst van de NIS2. Het doel van de NIS2 directive is het verhogen van de digitale veiligheid van vitale aanbieders in de EU, en samen naar een hoger gemeenschappelijk weerbaarheidsniveau. Het gaat tenslotte om de vitale infrastructuur van de samenleving en economie.

De herziene NIS2 kent twee categorieën: essentiële aanbieders en belangrijke aanbieders. Bij de essentiële aanbieders, voornamelijk partijen uit Nederlandse vitale sectoren, is het toezicht straks proactief. De belangrijke aanbieders zijn voornamelijk (middel)grote partijen, waarbij verstoring geen zeer ernstige maatschappelijke of economische gevolgen zal hebben, maar waarbij ketenweerbaarheid uiteraard een belangrijk rol speelt.

Voorbeelden van essentiële entiteiten zijn elektriciteitsbedrijven, raffinaderijen, luchtvaartmaatschappijen, spoorwegbedrijven, kredietinstellingen, ziekenhuizen, drinkwaterbedrijven, aanbieders van cloudcomputingdiensten en datacenterdiensten. Voorbeelden van belangrijke entiteiten zijn aanbieders van postdiensten, afvalstoffenbeheerders, levensmiddelenbedrijven en ondernemingen die machines, transportmiddelen, elektronica of medische hulpmiddelen vervaardigen.

De grootte van een bedrijf is niet van doorslaggevende invloed op het antwoord op de vraag of de NIS2-richtlijn op dat bedrijf van toepassing is. Het gaat er ook niet om waar een bedrijf is gevestigd, maar waar de bedrijfsactiviteiten worden ontplooid.

Overigens is een consultatieronde onderdeel van het traject richting medio 2024. De aanwezigen op ons event hadden wel oren om daaraan deel te nemen, zeker als het leidt tot advies van uniform toezicht, maar ook om waar nodig input en sturing te kunnen geven.

NIS-ABC’tje

In de presentatie van de sprekers van Ploum kwam onder meer een overzichtelijke ABC’tje naar voren, dat de essentie van de NIS2 goed vangt: Accountability, Business continuity en Corporate governance. Met ander woorden: (eind)verantwoordelijkheid voor cyberweerbaarheid, een plan van aanpak om de bedrijfscontinuïteit veilig te stellen, en toezicht op (en naleving van) de maatregelen. Bestuursorganen c.q. het bestuur van essentiële en belangrijke entiteiten moeten de genomen maatregelen op het gebied van risicobeheer goedkeuren. Maar ze zijn ook verantwoordelijk voor de eventuele niet-naleving van de verplichtingen. Om die reden moeten ze toezien op de naleving van de regels.

Denk bij dat laatste ook aan het juiste personeel dat op de juiste wijze geschoold moet zijn. Bestuurders komen niet meer weg met het gegeven dat ze niet betrokken zijn bij digitalisering, en cyber is allang geen verantwoordelijkheid meer van IT alleen.

Sterker nog, bij de cyberaanval op Colonial Pipeline in de VS vorig jaar is dat bedrijf aangeklaagd voor de vervolgschade in de keten, terwijl de organisatie zélf slachtoffer was. Er is nu geen jurisprudentie voor dat soort claims, maar er gaat zeker het nodige veranderen. Het laat bovendien nog maar eens zien hoe sterk de overlap is tussen fysiek en digitaal. Wat ons ook weer terugbrengt bij de A van accountability. Dat gaat over het nemen van voldoende maatregelen, én aantonen dat die maatregelen genomen zijn. Artikel 18 (Wbni) bevat de minimummaatregelen én de algemene verplichting om passende/evenredige technische en organisatorische maatregelen te nemen​. Denk dan aan beleid en procedures (tests en audits) om de effectiviteit van maatregelen te beoordelen.

Business continuity gaat over alle stappen en maatregelen die bij onvoorziene omstandigheden worden gezet om continuïteit van de dienstverlening te waarborgen​. Daar dient een plan voor te bestaan. Inventariseer kwetsbaarheden en mogelijke gevolgen​ – en hoe die kunnen worden opgevangen om continuïteit te waarborgen​.

Meldingsplicht

De lidstaten zien erop toe dat deze maatregelen zijn genomen of onverwijld worden genomen​. Daarnaast wordt melding van incidenten bij CSIRT of bevoegde autoriteit een belangrijke pijler van de NIS2. Dat moet trapsgewijs een initiële vorm binnen 24 uur, met een volledige update binnen de eerste 72 uur. Aansluitend is ook het indienen van een eindverslag na 1 maand onderdeel van de nieuwe praktijk straks. Wat een incident dan exact is, wordt er vanuit het publiek gevraagd? Denk dan aan voorvallen met aanzienlijke/significante gevolgen, zoals operationele storingen & financiële verliezen voor de eigen entiteit of een andere entiteit.

Entiteiten moeten ‘passende en evenredige maatregelen nemen om de risico’s voor de beveiliging van hun netwerk en informatiesystemen die zij gebruiken voor hun werkzaamheden of voor het verlenen van hun dienst te beheersen.’ Deze maatregelen omvatten o.a. afhandeling van incidenten, bedrijfscontinuïteit en de beveiliging van toeleveringsketens (supply chain security) en zijn dus van toepassing op het ABC’tje.

Voor verdere details over de meldplicht en de inhoudelijke items van onder andere Artikel 18 en 20 uit de Wbni verwijzen we je graag naar de presentaties van Min I&W en Ploum.

CYRA: CYber RAting

CYRA, wat dus staat voor CYber RAting, is een onafhankelijk kader of framework voor informatiebeveiliging en privacymaatregelen, gebaseerd op bestaande internationale normen zoals ISO 27001 en 27701, maar dan vertaald naar begrijpelijke handvatten. Het is een maturity groeipad met handelingsperspectief voor de ondernemers, op dit moment gebaseerd op IT en privacy – aan OT wordt gewerkt.

Aanleiding voor CYRA is het kunnen bieden van structuur en inzicht in de weerbaarheid van de ketens. Ook is het een manier om op de NIS2 voor te sorteren, én zoals gezegd een opmaat naar ISO 27001. Die ISO-certificering is voor veel mkb’ers namelijk óf niet noodzakelijk, óf niet haalbaar. Cyberweerbaarheid verhogen kan daarom (ook) met de stappen van CYRA.

Groot voordeel van CYRA is dat toeleverende bedrijven straks maar met één normenkader te maken krijgen. Bedrijven in grote netwerken, en zeker in de Rotterdamse haven, kunnen zich in verschillende ketens en sectoren bevinden. Als CYRA breed door bedrijven wordt overgenomen, dan biedt dat – ook de kleinere – organisaties een mogelijkheid om aan één gedeeld kader of framework te werken, voor verschillende sectoren en klanten die straks onder de NIS-2 komen te vallen. Daarmee wordt de cyberveiligheid in zijn geheel verhoogd.

Framework voor informatiebeveiliging

CYRA voor de ondernemer betekent inzicht en handelingsperspectief, kunnen werken aan cyberweerbaarheid en het zetten van een benchmark ten opzichte van de eigen sector. Voor de keten betekent dat ondersteuning voor de continuïteit (vanuit cyberweerbaarheid) en vooruitlopen op wet- en regelgeving. In Rotterdam is een pilot gestart waar we je in de verdere loop hiervan zeker meer over zullen vertellen. Want samen staan we FERM!

Download hier de presentaties van het NIS-2 event:

Sluit je aan bij FERM

Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.

Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode verbonden.

En wist je dat je als participant mee kunt doen aan onze cybercrisistrainingen in mei en Cybernautics-FERM in juni? Volgens experts uit het veld is de waarde van de training en de oefening gelijk aan het tienvoudige van je deelname aan FERM. Directe value for money dus! | Lees meer op ferm-rotterdam.nl/cybernautics

Vind FERM ook op LinkedIn | Twitter

Deel dit bericht