Zes praktische stappen om NIS2-compliant te worden
Nieuwe regelgeving zoals NIS2 heeft als doel de cyberbeveiliging van cruciale sectoren zoals de publieke sector, telecommunicatie, energie, transport en financiële diensten, te verbeteren. Dit verkleint de kans op een cyberaanval die gevolgen kan hebben voor het grote publiek. Het naleven van een EMEA-breed beveiligingsframework klinkt als een lastige taak. Maar in plaats van het te zien als iets dat kosten- en tijdsintensief is of zelfs een bedreiging kan zijn, moeten bestuursleden deze ontwikkeling zien als een kans om nieuwe beveiligingsnormen te bereiken, schrijft Christoph Schuhwerk, CISO EMEA bij Zscaler in de onderstaande blog.
NIS2 zorgt ervoor dat cyberbeveiliging een topprioriteit wordt voor het management. Zo kan de leiding van een bedrijf bijvoorbeeld persoonlijk aansprakelijk worden gesteld als de richtlijnen worden genegeerd of als een bedrijf niet aan de regels voldoet. Dit lijkt misschien ingrijpend, maar deze regelgeving is geen enorme herziening van al de bestaande veiligheidsmaatregelen. De richtlijn is bedoeld om de bedrijven met het laagste niveau van cyberhygiëne te helpen dit te verbeteren, in plaats van de lat voor iedereen te verhogen. Het is een noodzakelijke investering om de steeds evoluerende snelheid van cyberaanvallen bij te kunnen houden.
Maar hoe begin je aan dit compliance-traject? We hebben zes stappen opgesteld om bedrijfsleiders te helpen de veranderingen in gang te zetten die nodig zijn om NIS2-compliance te bereiken voordat de wetgeving van kracht gaat.
Stap 1: Registreer de organisatie
Allereerst moeten organisaties beoordelen of zij onder de NIS2 vallen. De EU schat dat meer dan 160.000 bedrijven in 15 sectoren in de toekomst aan NIS2 zullen moeten voldoen. Voortbouwend op de basis die gelegd is door de oorspronkelijke NIS-richtlijn, breidt NIS2 het toepassingsbeleid van de entiteiten die eronder vallen flink uit. Ook introduceert het strengere nalevingsmaatregelen.
Op grond van de Europese richtlijn moet ieder bedrijf dat onder de NIS2 valt zich proactief registreren in een portaal dat wordt aangeleverd door de nationale overheid. Het registratieproces zal in elk land net iets anders zijn en helaas is dit registratieportaal op dit moment nog niet beschikbaar bij de meeste EU-leden. Bedrijven moeten zich echter nu al vertrouwd maken met de EU-richtlijn, die de blauwdruk zal vormen voor alle lokale wetgeving wanneer zij binnen het bereik van NIS2 vallen. Eventuele dochterondernemingen in andere EU-landen moeten apart geregistreerd worden.
Zodra organisaties hebben geëvalueerd of zij aan NIS2 moeten voldoen en de registratie heeft plaatsgevonden, moet er een plan komen om de richtlijn in werking te stellen.
Stap 2: Richt een complianceproces in
Zodra een bedrijf een bepaalde omvang heeft bereikt, hebben belanghebbenden behoefte aan bewijs dat cyberveiligheid serieus wordt genomen. Als een bedrijf nog geen certificering of framework heeft op het gebied van cyberbeveiliging, dan is NIS2 een goed startpunt. Dit zal echter veel nieuwe processen en activiteiten in gang zetten en dus inspanning vergen. Als een bedrijf al andere frameworks voor cyberbeveiliging hanteert, zal de inspanning voor NIS2 beperkter zijn. Het op elkaar afstemmen van kaders is een goed startpunt om het complianceproces in te richten. Dergelijke mappings zijn openbaar beschikbaar of kunnen worden opgevraagd bij serviceproviders.
De C-suite kan niet zomaar het implementeren van dit beveiligingsframework aan het beveiligingsteam delegeren om alleen af te handelen. Bedrijfsleiders moeten verschillende teams inzetten met de kennis en ervaring om hun bedrijfsmiddelen en beleid met de nodige nauwkeurigheid te controleren, en zo nodig aan te passen.
Stap 3: Zet een NIS2-team op
De algehele verantwoordelijkheid voor het NIS2-proces zou bij de CISO moeten liggen. Deze persoon kan bepaalde stappen of activiteiten delegeren aan een breder projectteam, bestaande uit deskundigen uit verschillende teams binnen de organisatie. Maar voordat er interne teams kunnen worden opgezet, moet er een projectleider worden aangesteld die leiding kan geven aan de audit en NIS2 best practices kan garanderen – in alle locaties en bij alle externe leveranciers. Als één persoon verantwoordelijk is voor de documentbeoordeling, betekent dit dat de organisatie zich aan één interpretatie van het framework houdt, in plaats van aan meerdere variaties.
De projectleider moet vervolgens deskundigen inschakelen om het bredere beveiligingsteam te ondersteunen – denk aan risico- en compliance- en CERT-experts, het IT-architectuurteam en de cloud & hostingteams (NIS2 hoofdstuk 2.1), het identiteits- en toegangsbeheerteam (NIS2 hoofdstuk 2.3), het netwerkteam en het facilitaire team voor de fysieke beveiliging (NIS2 hoofdstuk 2.5). Daarnaast moeten de mensen worden aangesproken die verantwoordelijk zijn voor de veerkracht van het bedrijf, zowel vanuit IT- als bedrijfsperspectief.
Veel grote bedrijven zullen binnen hun juridische of beveiligingsteam al een specifieke afdeling hebben die zich bezighoudt met certificeringen en audits. Deze best practice-aanpak moet worden overgenomen voor NIS2-compliance. Deze teamleden zullen diepgaand inzicht in de technologische ontwikkelingen hebben en zijn in staat om sneller gebieden te identificeren waar de beveiliging ontbreekt of niet voldoende is.
Kleinere bedrijven die niet over zo’n subteam beschikken of niet over het budget om er een op te zetten, kunnen het beste een taskforce opzetten om zo het juiste kennisniveau te bereiken en te weten waar tijdens de audit op moet worden gelet.
Stap 4: Beoordeling van het voorraadbeheer om het risicoprofiel te bevestigen
Een van de grootste obstakels voor een compliance-audit is het gebrek aan een volledig beeld van de technologieën en bedrijfsmiddelen binnen de omgeving. Hoe complexer de IT-infrastructuur, hoe moeilijker het is om de risicovoetafdruk in kaart te brengen. Als organisaties niet begrijpen wat ze moeten beschermen, zullen ze ook niet weten hoe ze dat moeten beschermen. Inzicht in de blinde vlekken in de beveiligingsinfrastructuur moet een prioriteit zijn voor projectleiders. Daarom is de beoordeling van beschikbare bedrijfsmiddelen een voorwaarde voor het proces.
Organisatorische complexiteit kan extra inspanning toevoegen aan het complianceproces wanneer teams hun eigen IT-governanceprocessen hebben. Dit is vaak het geval wanneer organisaties verschillende verantwoordelijken hebben voor IT- en OT-workloads, die beiden onder de NIS2 vallen. Het NIS2-projectteam moet de volledige set technologieën in kaart brengen en begrijpen om het risicoprofiel te bepalen.
Onze aanbeveling is om één centraal assetmanagementsysteem te gebruiken voor alle bedrijfs- en IT-teams. Er zijn verschillende oplossingen beschikbaar die het proces versnellen door middel van slim scannen en op AI-gebaseerde dataverbetering. Omdat veel organisaties groeien door overnames, moeten eventuele nieuwe technologieën ook aan het audit- en complianceproces moeten worden toegevoegd.
Stap 5: Bespaar tijd door bestaande auditresultaten over te zetten naar NIS2
Zoals eerder vermeld moeten veel bedrijven nu al delen van hun activiteiten afstemmen op andere bestaande regelgeving en richtlijnen. Deze resultaten kunnen worden hergebruikt voor NIS2-compliance. In het beste geval komen ze rechtstreeks overeen met lokale NIS2-vereisten, anders moeten ze aangepast worden om aan de richtlijn te voldoen.
Als organisaties een aanzienlijke kloof tussen frameworks vaststellen, moet het projectteam het meest effectieve en snelste pad naar compliance plannen. Het kan de moeite waard zijn om samen te werken met deskundige partners om te begrijpen welke technologie moet worden ontwikkeld en hoe aan de vereisten kan worden voldaan met zo min mogelijk impact op de dagelijkse bedrijfsvoering en met de minste complexiteit.
Stap 6: Verlaag de complexiteit van de infrastructuur
Voorheen kochten bedrijven nieuwe technologie om compliant te zijn, waardoor veel bedrijven een hoge technological debt hebben. Hierdoor zullen de meeste beveiligingsteams moeite hebben met de NIS2-compliance. Daarom wenden veel organisaties zich tot cloudgebaseerde beveiligingsplatforms om de complexiteit van hun IT-omgeving te vereenvoudigen. Ze creëren hierbij een verbindingspunt voor alle locaties en een basislaag van cyberhygiëne die het eenvoudiger maakt om audits uit te voeren.
Een consolidatie van de beschikbare technologieën vermindert die complexiteit en versoepelt het complianceproces. Een bewezen best practice is de combinatie van de drie tot vijf meest relevante grote platforms voor een compleet IT-ecosysteem. Het is dan echter wel van groot belang dat de integratie van deze platforms soepel verloopt. Vooraf gedefinieerde API’s kunnen hierbij helpen.
Voor organisaties met locaties in meerdere landen heeft NIS2-compliance een extra complexiteitslaag. Zelfs als hun bedrijf centraal vanuit één locatie wordt beheerd, moeten alle locaties voldoen aan NIS2 en vanuit veiligheidsperspectief op één lijn liggen met het centrale hoofdkantoor.
Conclusie
Hoewel het auditproces een lang en intimiderend vooruitzicht lijkt, is het iets waar alle organisaties in zouden moeten investeren om hun risicoprofiel beter te begrijpen. Veel bedrijven zullen schrikken van de hoeveelheid technologie die ze beheren en zich zorgen maken over hoe complex hun omgeving is geworden. Ondanks dat we nog niet precies weten wanneer de NIS2-richtlijn in Nederland van kracht wordt, is het belangrijk om nu het harde werk te doen en last minute paniek te vermijden. De inspanningen zijn zeker niet tevergeefs: inzicht verkrijgen in alle datastromen zou de basis kunnen blijken voor toekomstige ambities, of het nu gaat om OT/IoT, 5G of andere tips om de infrastructuur veilig en toekomstbestendig te maken.
Door Christoph Schuhwerk, CISO EMEA bij Zscaler.
