Jan Heijdra, Cisco: NIS2-wetgeving ver weg, maar toch is het tijd voor actie

“Als Field CTO heb ik de mogelijkheid om me bezig te houden met innovatieve technologieën, mensen bewust te maken van de ontwikkelingen in de cybersecurity-wereld en te vertellen hoe Cisco hen kan ondersteunen”, zegt Jan Heijdra. “Ik praat met klanten en partners over onderwerpen zoals AI in cybersecurity, de impact van quantum computing, maar ook vaak over compliancy en regelgeving. Dus ook NIS2. Voor veel organisaties is dat een motivatie om hun securitylandschap en het framework dat ze gebruiken onder de loep te nemen. Ze willen er zeker van zijn dat ze voldoen aan de gestelde eisen.”

Eigenlijk zou NIS2 niet de enige aanleiding moeten zijn, vindt hij. “Bepaalde vragen moet je jezelf altijd stellen. Wat is je dreigingslandschap en hoe bereid ik mijn organisatie daar zo goed mogelijk op voor? Of de wet in Nederland nu wel of niet klaar is moet geen verschil maken, want cybercriminelen wachten daar niet op. Er speelt vandaag de dag heel veel. Neem de rol van AI in cybersecurity. Er zijn nu GPT-oplossingen die kwetsbaarheden in jouw software automatisch kunnen misbruiken. Dat weten veel organisaties niet. Het betekent dat ze iets moeten doen aan het managen van hun kwetsbaarheden en hun risicoanalyse.”

Deadline

Op 18 oktober had de NIS2-richtlijn vertaald moeten zijn naar landelijke wetgeving in alle 27 Europese lidstaten, maar alleen België, Duitsland, Italië, Letland, Litouwen en Kroatië hebben die deadline gehaald. In Nederland gaat dat nog wel even duren. “Begin oktober gaf de overheid tijdens hun cybersecurityevent ONE Conference een presentatie over NIS2. Ze gaan nu aan de slag met een tweede internetconsultatie. De verwachting is dat de wetgeving pas in de tweede helft van 2025 in werking treedt.”

Hoe de wetgeving er in Nederland uit gaat zien, is daardoor nog onduidelijk. Heijdra: “De Europese richtlijn bevat in artikel 21 een lijst met maatregelen die organisaties moeten nemen. Artikel 23 gaat over het rapporteren van incidenten. Samen geeft dat een goede richting. Maar zeker die eerste lijst krijgt in de vertaling naar de Nederlandse wetgeving waarschijnlijk veel meer detail. Er blijft daarnaast ongetwijfeld ook ruimte voor interpretatie. Maar als organisatie weet je heel goed wat er nodig is. Nu al. De best practices en industrie-standaarden voor bijvoorbeeld authenticatie, encryptie en incident detectie zijn gewoon bekend. Daar bestaan genoeg frameworks voor van vendoren en overkoepelende organisaties."

Cyberhygiëne op orde

“Als organisatie kun je je nu al voorbereiden op NIS2”, benadrukt Heijdra. “Een goede eerste stap is om te inventariseren wat je allemaal in huis hebt. Vervolgens is het goed om een risicoanalyse te doen. Waar zitten de kroonjuwelen? Waar hebben derde partijen toegang toe in jouw IT-omgeving? Als dat niet duidelijk is, weet je niet waar je je security moet verhogen. Vanzelfsprekend moet de basis, je cyberhygiëne, op orde zijn. Als de voordeur openstaat hebben andere maatregelen weinig zin. Op de website van het Nationaal Cyber Security Centrum staan vijf basisprincipes van digitale weerbaarheid.”

Een ander belangrijk onderdeel van NIS2 is incident reporting. “Je moet een incident binnen 24 uur kunnen rapporteren en binnen 72 uur moet je een gedetailleerd rapport hebben. Daarvoor is het belangrijk dat je informatie makkelijk kunt verzamelen. Veel organisaties lukt dat niet, omdat alles heel erg versnipperd staat, bij verschillende leveranciers. Ook hierbij is het dus belangrijk om te beginnen met goed beleid.”

Hoofdelijk aansprakelijk

Bijna iedereen is zich ervan bewust dat NIS2 voor de deur staat, merkt Heijdra op, maar de echte urgentie hangt vaak af van de rol binnen de organisatie. “CISO’s en andere mensen op de securityvloer hebben veel events bezocht en blogartikelen gelezen. Zij weten genoeg over NIS2. Maar je ziet ook dat securityteams regelmatig moeite hebben om board-leden te overtuigen om de juiste maatregelen te nemen en daar budget voor vrij te maken. Het probleem komt vaak niet door onwillige securityteams, maar het zit breder in de organisatie.”

Dat bestuurders niet altijd meewerken is opvallend, want één van de punten van NIS2 is het feit dat zij hoofdelijk aansprakelijk kunnen worden gesteld voor het niet nemen van passende maatregelen. “Soms weten bestuurders dat niet. Als we het hebben over die hoofdelijke aansprakelijkheid, dan opent dat regelmatig de ogen. Toch ken ik ook nog veel voorbeelden van securityteams die erover klagen dat ze zo lek als een mandje zijn omdat de board niet doorheeft dat er funding nodig is. Dat is een kwalijke zaak en als cybersecurity-gemeenschap moeten we daar aandacht voor blijven vragen. Cybersecurity die niet op orde is, kan invloed hebben op de hele samenleving.”

Werk uit handen

Heijdra en zijn collega’s kunnen klanten op verschillende manieren helpen om te voldoen aan NIS2. “Geen enkele leverancier kan zeggen: ‘Koop mijn spullen en je bent compliant’”, zegt hij realistisch, want hij weet dat het altijd een brede puzzel is. “Met Cisco kunnen we onder andere een risicoanalyse uitvoeren. Daarmee bepaal je welke stappen je neemt richting je uiteindelijke doel. Tijdens die reis kunnen we klanten helpen met de verschillende maatregelen die in artikel 21 van NIS2 worden genoemd. Denk aan toegangscontrole, encryptie, multifactor-authenticatie, het segmenteren van een omgeving en vulnerability-management. Daar hebben we allemaal oplossingen voor die bij elkaar komen in onze Cisco Security Cloud. Ook bij artikel 23, over het rapporteren van incidenten, kunnen we helpen. Daarvoor hebben we XDR-oplossingen (extended detection and response, red.). Je detecteert wat er gebeurt in een omgeving en kunt daar actie op ondernemen. Vervolgens komt daar een rapportage uit, die je kunt opsturen naar de bevoegde partij die de incidenten verzamelt. Dat kunnen we ook als managed service leveren, waarmee we dat werk van securityteams uit handen nemen.”

Heijdra verwacht dat steeds meer sectoren met eigen wetgeving komen. “In de financiële sector heb je nu DORA, wat nog specifieker is en NIS2 eigenlijk overruled. Wij denken dat andere sectoren gaan volgen. Dat is een extra reden voor organisaties om hiermee aan de slag te gaan.”

Door: Johan van Leeuwen