Wat brengt de NIS2? – Michael Theuerzeit

nis2
Michael Theuerzeit – Lead consultant bij Hudson Cybertec – Gespecialiseerd in cybersecurity

Zo’n 6 jaar geleden werd de cybersecurity wetgeving in Europa geactualiseerd en de NIS (Network and Information Security) geïntroduceerd. In Nederland heeft dit geresulteerd in de Wbni (Web beveiliging netwerk en informatiesystemen). Inmiddels wordt er in Europa alweer geruime tijd hard gewerkt aan de NIS2 die binnen enkele maanden wordt verwacht. Gaat het allemaal niet wat snel?

Het lijkt wel dat wetgeving al wordt aangepast nog voordat deze goed en wel is doorgevoerd. Het is alsof de spelregels van een spel worden aangepast nog voordat het spel goed en wel is begonnen. Maar cybersecurity is geen spel. Michael Theuerzeit, lead consultant bij Hudson Cybertec: “Cyberdreigingen zijn reëel, ze volgen elkaar snel op en veranderen continu. De NIS2 heeft dan ook tot doel de cyberveerkracht van ondernemingen te vergroten en te zorgen voor een collectieve paraatheid en responscapaciteit.” Het is dan belangrijk dat er geen grote verschillen zijn in de veerkracht in de sectoren die nu reeds onder de richtlijn vallen.

Belangrijke wijzigingen in de NIS2 omvatten o.a. het afscheid van AED’s (Aanbieders Essentiële Diensten) en DSP’s (Digitale Service Providers), de invoering van onderscheid op basis van zogenaamde essentiële en belangrijke entiteiten en het feit dat het aantal bedrijven dat moet gaan voldoen aan de wet is geëxplodeerd van enkele tientallen naar meer dan 4300. Tal van sectoren zijn toegevoegd dan wel uitgebreid. Daarnaast zijn criteria waaraan men moet voldoen toegevoegd.

De wijzigingen die de NIS2 brengt zullen hun weg moeten vinden naar een update van de Wbni.
Veel organisaties zijn nog zoekende hoe ze kunnen voldoen aan de Wbni. Een update als gevolg van de NIS2 maakt hun reis naar overeenstemming daarmee niet makkelijker. “Omdat Hudson Cybertec de veranderingen in de wet- en regelgeving op de voet volgt, zijn wij in staat vroegtijdig te anticiperen op komende maatregelen” vervolgt Theuerzeit: ”Hierdoor worden bedrijven adequaat geholpen en komen ze niet voor verrassingen te staan.”

Een second opinion helpt bedrijven te zien of de juiste maatregelen zijn genomen. Een nulmeting maakt inzichtelijk waar de organisatie vandaag staat en een validatie van genomen technische dan wel beleidsmaatregelen geeft inzicht of de maatregelen ook werken. Elke organisatie heeft behoefte aan passend advies hoe zij efficiënt in lijn kunnen geraken met de Wbni. Deze bedrijven weten zich gesteund door Hudson Cybertec die hen helpt om digitaal weerbaarder te worden en de cybersecurity voor hun OT omgeving in overeenstemming te brengen met de wetgeving.

Om aantoonbaar in controle te zijn kunnen o.a. kaders als de CSIR (Cybersecurity Implementatierichtlijn) en BIACS (Basismaatregelen voor cybersecurity van Industriële Automatisering & Controle Systemen) worden gebruikt. Beide zijn specifiek ontwikkeld voor gebruik binnen het OT domein. De CSIR is ontwikkeld door Rijkswaterstaat en wordt ook door de waterschappen reeds omarmd. Omdat veel organisaties nog niet zo volwassen zijn dat ze het laagste weerbaarheidsniveau van de CSIR kunnen behalen, biedt de BIACS een eerste opstap daartoe.