Op 6 juli 2016 heeft het Europese Parlement de Directive on Security of Network and Information Systems ('NIS Directive') aangenomen. En daarmee de eerste Europa brede regels op het gebied van cybersecurity. Maar wat houden ze nu in? En wat betekent dit voor bedrijven in Nederland?
Doel
Het doel van de richtlijn is om binnen de EU een hoog- en gemeenschappelijk niveau van beveiliging te hebben voor netwerk- en informatiesystemen. De drie speerpunten zijn:
- Verbeterde cybersecurity mogelijkheden op nationaal niveau;
- Verbeterde samenwerking binnen de EU;
- Risk management en incident reporting verplichtingen voor digitale service providers en bedrijven die essentiële diensten aanbieden.
1 - Nationaal niveau
Lidstaten dienen een strategie te ontwikkelen met daarin strategische doelen, beleid en regelgeving. Bijvoorbeeld het identificeren van maatregelen op het gebied van response en herstel. Maar ook security awareness training, opleiding en een risk assessment plan. De bedoeling is ook dat de samenwerking tussen de private- en publieke sector bevorderd wordt.
Iedere lidstaat dient één of meerdere Computer Security Incident Response Teams (CSIRTs) op te richten die verantwoordelijk zijn voor het monitoren van incidenten op nationaal niveau en de verspreiding van informatie omtrent risico's en incidenten. Het huidige Nationaal Cyber Security Centrum, NCSC, vervult deze taak al binnen Nederland.
2 - Samenwerking
Een ander doel van de richtlijn is om de samenwerking binnen de EU te bevorderen door de vorming van een Cooperation Group met daarin onder andere afgevaardigden van de lidstaten en de ENISA: European Union Agency for Network and Information Security. Deze groep dient als klankbord voor de CSIRTs van de lidstaten, bespreekt standaarden en best practices en deelt informatie over risico's, incidenten, awareness en training.
Naast de Cooperation Group komt er een netwerk van CSIRTs die vooral als taak hebben om informatie van de nationale CSIRTs uit te wisselen en daar lering uit te trekken.
3 - Risk management en incident reporting
Het derde aan laatste gebied heeft voor bedrijven de meeste impact: risk management en incident reporting verplichtingen voor digitale service providers en bedrijven die essentiële diensten aanbieden.
Voor wie en wat?
Maar wat zijn digitale service providers dan? En wie zijn die aanbieders van essentiële diensten en wat moeten ze dan doen? De Europese Commissie stelt dat aanbieders van essentiële diensten private bedrijven of publieke instanties zijn die een belangrijke rol vervullen binnen de samenleving en de economie. Zij dienen passende beveiligingsmaatregelen te nemen en serieuze incidenten te melden bij de nationale instanties. Iets wat we in Nederland al kennen op het gebied van persoonsgegevens onder de Wet bescherming persoonsgegevens.
De beveiligingsmaatregelen gaan over zowel technische- als organisatorische maatregelen, dienen te garanderen dat netwerk- en informatiesystemen een bepaald security level hebben en ze hebben een preventieve en minimaliserende werking op de impact van incidenten.
Uiteindelijk wijst iedere lidstaat de bedrijven aan die aan deze maatregelen moeten voldoen. Bijvoorbeeld bedrijven die afhankelijk zijn van informatiesystemen waarbij de geleverde dienst significant verstoord wordt in geval van een incident. Dat geldt voor bedrijven in de sectoren: energie, transport, banken, financiële markt, gezondheidszorg, drinkwater en digitale infrastructuur zoals internet exchange punten en domain name providers.
De richtlijn zegt niet specifiek wat een significant incident is, alleen dat gekeken wordt naar het aantal getroffen gebruikers, duur en geografische spreiding.
Bij de tweede groep die als Digital Service Providers worden aangeduid betreffen de beveiligingsmaatregelen ook maatregelen op het vlak van incident handling, business continuity management, monitoring, auditing en het testen van compliance tegen internationale standaarden...
Het type bedrijven dat hier bedoeld wordt zijn bedrijven zoals aanbieders van online marketplaces waar andere bedrijven hun producten en/of diensten verkopen, cloud computing services en search engines. Bedrijven in de categorie 'micro en small enterprises', bedrijven met minder dan 50 medewerkers, vallen niet onder de richtlijn.
Tijdspad
De Europese Commissie heeft een tijdspad opgesteld voor de verschillende onderdelen in de richtlijn. Voor Digital Service Providers gelden de regels vanaf augustus 2017, terwijl de lidstaten pas in november 2018 overgaan tot het aanwijzen van aanbieders van essentiële diensten.
Ook toeleveranciers en IT-providers kunnen te maken krijgen met deze regelgeving als de door hun geleverde diensten bij de beoogde bedrijven een rol spelen. Nu al geldt voor alle bedrijven in Nederland de aangescherpte Wet bescherming persoonsgegevens en volgend jaar ook de Europese General Data Protection Regulation, GDPR. Ter verduidelijking, de GDPR is een 'regulation'. Dat is een overkoepelende wet die voor alle lidstaten geldt terwijl bij een 'directive' de individuele lidstaten nog specifieke regels op dienen te stellen.
Kortom, de beveiligingseisen worden aangescherpt vanuit verschillende overheden en u moet maar zien dat het geregeld wordt. Redenen genoeg om eens na te gaan hoe het in uw organisatie is gesteld met business continuity, security monitoring en compliance. Er is nog even tijd, maar de praktijk leert dat compliancy niet zomaar ingeregeld is en monitoring en preventie ook niet met een knip van de vinger het gewenste resultaat opleveren.
Heeft u vragen of wilt u eens van gedachte wisselen over de huidige stand van zaken binnen uw organisatie? Kijk dan op http://www.valid.nl/security en vul het contactformulier in, of stuur mij een persoonlijk bericht.
