- 14 januari 2025
- | Bron: Foodprocess
BREEMES – BM GRIP : Samen informeren wij onze klanten
Industrie valt onder Europese NIS2-richtlijn voor cyberbeveiliging
De Europese NIS2-richtlijn voor cyberbeveiliging wordt dit najaar van kracht na omzetting naar wetgeving. De opvolger van de NIS-richtlijn (Network and Information Security directive) kent strengere regelgeving en geldt voor meer kritische (essentiële) en belangrijke sectoren. Daaronder ook de industrie. “Breng in kaart waar je kwetsbaar bent voor cyberdreigingen en waar de grootste risico’s voor je klanten en de maatschappij liggen. Pak die als eerste aan”, adviseert Sjoerd van de Meerendonk, directeur van specialist in informatiebeveiliging BMGRIP.
De Europese Unie heeft de NIS2-richtlijn (Network and Information Security directive) vastgesteld als opvolger van de NIS-richtlijn. Die was in Nederland sinds 2018 van kracht via de Wet beveiliging netwerk- en informatiesystemen (Wbni). Op dit moment wordt nog gewerkt aan de Nederlandse omzetting van de NIS2, waarna die dit najaar wordt ingevoerd. Het doel is onveranderd het verhogen van de cyberbeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten.
Rust, zekerheid en grip
Al meer dan twintig jaar legt BMGRIP zich toe op het versterken van organisaties op het gebied van informatiebeveiliging, privacy en bedrijfscontinuïteit. De onderneming is gevestigd in Utrecht, telt veertig professionals en is sinds 2022 onderdeel van Kader Group. “Vanuit onze risicogebaseerde insteek helpen wij met het implementeren van organisatorische maatregelen en het ontwikkelen van strategisch beleid dat aansluit bij de bedrijfsdoelstellingen”, vertelt oprichter en directeur Sjoerd van de Meerendonk. “Het is onze missie organisaties te helpen om op een effectieve en efficiënte manier aan wet- en regelgeving te voldoen, terwijl ze tegelijkertijd hun concurrentiepositie versterken. Zo bieden wij rust, zekerheid en grip.” BMGRIP begeleidt organisaties bij impact-/ risicoanalyses en implementatie van securitymaatregelen, levert daar ook professionals “as a service” voor in de vorm van (chief) information security officers, biedt digitale oplossingen voor managementsystemen en verzorgt trainingen.
NIS1 wees daarvoor zes essentiële sectoren aan: energie, zorg, drinkwater, transport, financiële sector en digitale infrastructuur. NIS2 voegt daar vier essentiële sectoren aan toe: overheid, ICT-beheer, afvalwater en ruimtevaart. Interessant is dat er daarnaast ook belangrijke sectoren zijn benoemd, waaronder digitale aanbieders, de chemische, de voedingsmiddelen- en de maakindustrie. De regels zijn hetzelfde, alleen het toezicht is minder scherp, namelijk reactief in plaats van proactief op de essentiële sectoren. Daarnaast is de nieuwe richtlijn strenger op de beveiligingsnormen en de meldingsvereisten voor incidenten.
Fysieke impact
Dat de industrie nu ook wordt genoemd, is volgens Van de Meerendonk een logische ontwikkeling. “Voorheen ging het bij informatiebeveiliging vooral over de kantoorautomatisering, omdat die traditioneel al aan netwerken en het web hing. Nu zie je meer en meer dat de applicaties die de OT, de operationele technologie, in de industrie besturen, ook aan netwerken en het internet worden gekoppeld. Dat heeft als voordeel dat je makkelijk gegevens kunt uitwisselen, processen kunt monitoren en rapportages kunt maken en dus veel meer realtime inzicht in de prestaties van je systemen hebt. Het nadeel is dat je industriële systemen nu ook kwetsbaar zijn voor hackers. Het verschil met kantoorautomatisering is dat er niet alleen informatie kan worden weggesluisd en eventueel systemen worden stilgelegd met ransomware, maar dat er ook fysieke impact is. Als er niet wordt geproduceerd, kunnen er geen producten aan bijvoorbeeld de levensmiddelensector worden geleverd.”
“Industriële systemen zijn nu ook kwetsbaar voor hackers”
Grote organisaties lopen voorop in cyberbeveiliging en op een gegeven moment gaan ze er vanzelf ook aan hun partners en leveranciers eisen voor opleggen, signaleert Van de Meerendonk. “Je krijgt dan een sneeuwbaleffect. NIS2 zegt niet hoe je je keten moet aansturen, maar het volgt eigenlijk logisch uit de verantwoordelijkheden. De organisatie die aan het begin van de keten staat, moet eerst de scope bepalen: welke dienstverlening en welke leveringen zijn kritisch voor de output en moeten dus ook cyberveilig zijn? Dat moet contractueel worden vastgelegd.” Neem de pompen die een waterschap gebruikt om een polder te bemalen. Als de besturing van de gemalen wordt gehackt, draaien de pompen niet meer en loopt de polder vol. Het waterschap heeft de eindverantwoordelijkheid voor het kernproces, zorgen dat de bewoners droge voeten houden, en daarmee voor de cyberveiligheid van de daarbij betrokken keten. Daartoe behoren bijvoorbeeld de fabrikant van de pompen, de leveranciers van kritische componenten voor die pompen en de industrieel dienstverlener die het onderhoud aan de pompen verzorgt. Al die partijen moeten dus indirect, via de eisen die de essentiële entiteit waterschap stelt, aan NIS2 voldoen.
Steviger toezicht
Omgekeerd kunnen industriële toeleveranciers natuurlijk kijken of ze klanten hebben die onder de kritieke infrastructuur vallen, vervolgt Van de Meerendonk. “Idealiter hebben die klanten dat zelf al in beeld, maar veel bedrijven zijn er nog weinig mee bezig of hebben het overzicht niet. Dus hun partners en leveranciers kunnen hier een goede rol spelen.” Zeker ook omdat de keten niet eindigt bij de eerste lijn, want die pompenfabrikant betrekt zijn kritische onderdelen van tweedelijnsleveranciers. “En als een bedrijf bijvoorbeeld het IT-beheer uitbesteedt aan een partner, schakelt die vaak weer een datacenter in. Aandacht voor alle ketenschakels is dus belangrijk.”
“Aandacht voor alle ketenschakels is belangrijk”
Als het goed is, zijn industriële bedrijven uit welbegrepen eigenbelang al lang bezig met cyberbeveiliging, stelt Van de Meerendonk. “Wetgeving loopt altijd jaren achter op de feitelijke ontwikkelingen.” NIS2 is nu wel een stok achter de deur. Te meer omdat er naar verwachting krachtiger toezicht zal zijn dan op de huidige NIS. “Daar heb ik de afgelopen jaren geen effectief toezicht op gezien in de vorm van aanwijzingen geven en boetes uitschrijven. Ik trek een parallel met de AVG (Algemene verordening gegevensbescherming, red.). Voor de voorganger daarvan, de Wet bescherming persoonsgegevens, had de toezichthouder nauwelijks bevoegdheden; die kon misschien een boete van 500 euro uitschrijven. Bij overtreding van de AVG kunnen de boetes nu 10 tot 20 procent van de omzet bedragen. Het toezicht krijgt tanden en datzelfde verwacht ik voor NIS2. Het is echter nog niet bekend wie in Nederland de toezichthouder zal worden. Voordat deze is aangewezen en volledig operationeel is, zijn we een aantal jaren verder.”
Risicogericht maatregelen nemen
NIS2 schrijft voor dat organisaties hun cyberveiligheid moeten regelen, maar nauwelijks hoe ze dat moeten doen. “De wet kan niet zo specifiek zijn dat één methode wordt voorgeschreven aan alle sectoren. De overheid werkt anders dan een commercieel bedrijf, de telecom werkt weer anders dan de logistiek of de industrie. Iedere sector lost het op haar eigen manier op, bijvoorbeeld met een combinatie van goed toegangsbeheer, redundante uitvoering van systemen, versleuteling van gegevens, scheiding van netwerken, enzovoort. NIS2 maakt duidelijk dat je risicogericht technische, operationele en organisatorische maatregelen moet nemen om cyberbeveiliging te bereiken. Ook wordt een aantal algemene maatregelen genoemd. Daar stopt het, punt. Welke maatregelen exact, dat staat er niet in. De specifieke uitwerking van deze maatregelen is niet voorgeschreven. Dus moet je kijken naar wat experts zeggen en naar internationale standaarden op dit gebied. Daar staan best practices in hoe je een IT- of OT-omgeving goed moet beveiligen en welke stappen je daarin moet nemen. Je kunt denken aan ISO 27001 voor informatiebeveiliging en IEC 62443 voor industriële cybersecurity.” Die standaarden worden overigens niet expliciet in NIS2 genoemd.
“Probeer in ieder geval twee dingen in kaart te brengen, de scope en de risico’s”
Voor bedrijven die er nog onvoldoende mee bezig zijn, heeft Van de Meerendonk tot slot een boodschap. “Je kunt niet alles in één keer doen, want daar heb je over het algemeen onvoldoende tijd, geld en middelen voor. Probeer in ieder geval twee basisstappen te zetten. Breng ten eerste de scope in kaart: waar ben je gevoelig voor cyberaanvallen in het industriële domein waarin je werkzaam bent? Dat lijkt een open deur, maar acht van de tien bedrijven hebben niet goed in beeld waar het mis kan gaan. Stel ten tweede risicogericht vast waar je de ergste schade kunt verwachten als zo’n cyberaanval er daadwerkelijk komt. Concentreer je op de hoogste risico’s voor je industriële cyberveiligheid en pak die aan in de bekende Plan-Do-Check-Act-cyclus. Heb je de eerste risico’s goed gemitigeerd, richt je dan op de volgende, zodat je stap voor stap op een steeds hoger volwassenheidsniveau van cyberveiligheid komt. Als je dat doet, sta je meteen sterk richting de toezichthouder en klanten als deze vragen stellen of als er toch iets mocht gebeuren. Als je kunt aantonen dat je inzicht hebt in je risico’s en een plan hebt hoe je stap voor stap je cyberrisico’s gaat verlagen, dan verhoogt dit het vertrouwen bij klanten en toezichthouder.”
Maatschappelijke schade voorkomen
Als bedrijven worden gehackt en hun klantgegevens op straat zijn komen te liggen, lijden ze reputatieschade. Daarnaast hebben ze economische schade als hun systemen door hackers zijn stilgelegd. Maar het belangrijkste vindt Van de Meerendonk toch de externe impact die een cyberaanval kan veroorzaken. “De eerste motivatie voor bedrijven om met cyberveiligheid aan de slag te gaan, moet zijn het voorkomen van schade voor hun klanten en de maatschappij in brede zin.”
