ITchannelPRO heeft al een paar keer geschreven over de NIS2 richtlijn die in Brussel wordt voorbereid. Een week terug was er witte rook. Binnen 21 maanden moet in elke lidstaat deze richtlijn zijn omgezet in de nationale wetgeving. Zoals zo vaak is er ook nu weer een keuze: wachten tot de inkt in Den Haag droog is of nu vast inschatten wat er staat te gebeuren.
NIS2 per sector
Scope verruimd
NIS1 richtte zich op grote bedrijven en instellingen die essentiële functies voor de samenleving vervullen. Daarbij is vaak het begrip “vitale sector” gevallen. Belangrijk voor NIS2 is te weten dat de scope behoorlijk wordt verruimd. Nieuwe sectoren en ook middelgrote bedrijven krijgen het label “belangrijk voor de economie”. De lidstaten krijgen ook de bevoegdheid kleine ondernemingen met een hoog veiligheidsrisicoprofiel te identificeren.
Dat die scope wordt verruimd mag niet verbazen. Iedereen in de IT sector weer dat een kleine dienstverlener minstens zo belangrijk kan zijn voor het in de lucht houden van een bedrijf als een system integrator met 100.000+ medewerkers. Bekend voorbeeld is de MSP die met een handvol medewerkers zijn diensten aanbiedt. Dat type ondernemer is de laatste jaren wel erg vaak in het nieuws gekomen als het ging om cybercrime. Ze zijn zelf een gewild doelwit en belangrijke schakel in veel ketens. Dat NIS2 ook impact gaat krijgen op het doen en laten van deze groep komt dan ook niet als een verrassing. Belangrijk is wel dat de vraag “hoe dan” nu nog niet is te beantwoorden.
Meldingsplicht
Waar NIS2 de business van het IT kanaal raakt is ook rond de meldingsplicht. Dat begrip kennen we nu vooral door de AVG. Als er ergens data is gelekt moet dat worden gemeld. NIS2 kent ook een vergelijkbaar principe. Daar zal de procedure zijn dat men aan de bel trekt bij een dreiging en dus niet pas nadat iets fout is gegaan. Ook hier weer geldt dat de details nog ontbreken, maar de hoofdlijnen wel en daardoor is een inschatting mogelijk. De inschatting van ITchannelPRO is dat loggingtools onmisbaar worden en zelfs de facto verplicht.
Andere eisen
Duidelijk is verder dat de beveiligingseisen voor bedrijven worden aangescherpt door het voorschrijven van een risicobeheersingsconcept. Dat is een lijst van basisbeveiligingselementen die moeten worden toegepast. Veel controle gaat komen op de beveiliging van bevoorradingsketens en bevoorradingsrelaties (“bevoorradingsketen”). Bedrijven zullen de cyberbeveiligingsrisico’s in toeleveringsketens en -relaties moeten aanpakken. In de tekst van de EC die dat noemt wijst ook naar de cyberbeveiliging van infra, zowel vast als 5G-netwerken. Dat is een signaal voor zowel de telecom- en netwerkbedrijven als iedereen die voor de eindklant de connectiviteit beheert.
Toezicht
Her en der is al geschreven over het toezicht op de naleving van NIS2 en de boetes. Hoewel het goed is ook daar op te wijzen, zit daar een risico aan vast. Het doel van NIS2 is niet het leven van ondernemers zuur maken met meer regels. Doel is de cybersecurity op een fatsoenlijk niveau te brengen en houden. Daarbij hoort het inzicht dat het niet meer volstaat alleen een handvol zeer grote bedrijven en een paar sectoren te voorzien van het label “zeer belangrijk” of zelfs “vitaal”.
De verlammende werking van ransomware aanvallen en dergelijke tonen elke dag weer aan dat zelfs het platleggen van de infra van een kleine toeleverancier of externe IT beheerder tot langdurige en grote schade kan leiden. Die groepen zullen daarom op de radar van de toezichthouders gaan verschijnen. Zoals al eerder aangegeven kan toezicht op grond van de NIS2 richtlijn als gevolg hebben dat de minder professionele aanbieders het loodje gaan leggen.