08 feb '24
De NIS2, de nieuwe Europese richtlijn voor cyberveiligheid, heeft bepaald dat vitale sectoren wat extra werk op hun bordje krijgen. Uiterlijk 17 oktober 2024 moeten ze aan allerlei verplichtingen voldoen. In Nederland zijn we nog in de beginfase van het wetgevingstraject, dus er staat nog heel wat te gebeuren. Laten we aan de hand van een voorbeeld eens kijken naar wat dit nou eigenlijk betekent.
Stel je voor, je dagelijkse portie voedsel op weg naar de supermarkt of het ziekenhuis legt een behoorlijke afstand af. Vanaf volgend jaar gaat de NIS2 ook een rol spelen op die route. Zowel de transportsector als de zorg moeten namelijk voldoen aan de eisen van de NIS2. Eén van die eisen is het beveiligen van de toeleveringsketen. Wat betekent dat nou eigenlijk?
Er zijn een paar concrete dingen waar je aan moet denken als je aan de slag gaat met beveiligingsmaatregelen:
Om de toeleveringsketen NIS2-proof te maken, moet je de zwakke plekken van je leverancier of dienstverlener inschatten. Wat zijn bijvoorbeeld de specifieke risico's voor een ziekenhuis als het gaat om een transportbedrijf of voedselleverancier? En andersom. Je wilt voorkomen dat een aanval op een deel van de keten gevolgen heeft voor andere gebieden. Dus, bescherm de meest kwetsbare systemen extra goed.
De koppelvlakken tussen de IT-systemen van ketenpartners kunnen kwetsbaar zijn. Een aanval op een component uit de keten kan doorwerken. Tussen verschillende domeinen moeten de meest kwetsbare systemen extra worden beschermd. Zo moet een aanval op een order management systeem van een logistieke partner niet kunnen leiden tot een extra risico voor een systeem dat gevoelige patiënt gegevens bevat in een ziekenhuis.
Naast het beoordelen van de specifieke kwetsbaarheden, zal ook aandacht moeten worden besteed aan de kwaliteit van de producten en diensten van leveranciers of dienstverleners. Een manier om daar naar te kijken is bijvoorbeeld de aanwezigheid van certificaten. In dat verband is het interessant om te wijzen op de ontwikkelingen met betrekking tot de ‘Cyber Resilience Act (CRA)’. De CRA is een Europees wetsvoorstel waarin aandacht wordt besteed aan de digitale beveiliging van producten en diensten. In het voorstel wordt op verschillende plaatsen al verwezen naar de NIS2. Kortom, de beoordeling en certificering van producten en diensten zal ook apart aan de orde moeten komen. Het zal daarbij zeker ook zaak zijn om te kijken welke verplichtingen er al zijn, of komen of welke standaarden er op dit moment gelden in een bepaalde industrie.
Dit onderwerp hangt nauw samen met de beoordeling van de beveiliging van producten en diensten. Op grond van de NIS2 wordt verlangd dat NIS2-bedrijven bij het nemen van beveiligingsmaatregelen in de toeleveringsketen rekening houden met de digitale beveiliging in de ontwikkeling van producten en diensten. Hiervoor zal uiteraard technische expertise nodig zijn om dit goed te kunnen beoordelen. Specifieke aandacht is daarbij nodig voor het periodiek bijstellen van zulke beoordelingen. Bij nieuwe bedreigingen horen soms nieuwe maatregelen. Zo leidt bijvoorbeeld de toegenomen dreiging van Ransomware-aanvallen tot de uitrol van nieuwe techniek zoals Ransomware-resistente ‘immutable backup’. Een wendbaar raamwerk zoals Agile en/of DevOps is nodig om dit soort wijzigingen tijdig in te kunnen voeren. Dit periodiek controleren en bijstellen kan een belangrijk onderdeel worden van ketenafspraken.
Dit betekent dat NIS2-bedrijven het komende jaar veel met hun klanten en leveranciers in gesprek moeten gaan over hun beveiliging. Maar dat niet alleen, de beveiliging zal ook beoordeeld moeten worden, en er zullen afspraken moeten worden gemaakt over die beoordeling in de toekomst. Anders is het een momentopname waarvan wel haast zeker is dat die niet voldoende zal zijn om compliant te zijn met de verplichtingen van de NIS2.
