BLOG – De tweede Network and Information Security (NIS2)-richtlijn is wellicht de belangrijkste beveiligingsmaatregel die Europa ooit heeft genomen. De 27 Europese lidstaten hebben nog tot 17 oktober om te voldoen aan de nieuwe, strengere standaarden. Tegen die tijd moeten organisaties in de EU hun beveiliging aanzienlijk versterken, en zullen ze veel minder tijd krijgen om cyberaanvallen te melden.
Niet alleen de inhoud van NIS2 is ambitieus, ook de reikwijdte ervan. Waar NIS1 in sommige landen slechts op een duizendtal entiteiten van toepassing was, hebben we het bij NIS2 al snel over tienduizenden. Ook de straffen worden strenger. Zo worden bedrijfsleiders persoonlijk verantwoordelijk gehouden bij slecht beheer – een ongeziene primeur.
Elke maatregel heeft natuurlijk voor- en tegenstanders, en NIS2 vormt hierop geen uitzondering. Sommigen stellen dat een te streng kader innovatie in de weg zal staan. Anderen beweren juist dat de nieuwe regelgeving investeringen in cybersecurity zal stimuleren. Maar waarover iedereen het eens is, is dat onze organisaties dringend behoefte hebben aan een duidelijk kader. Generatieve ai zorgt voor een ongekende explosie van steeds geavanceerdere aanvallen. Zo ontdekten onderzoekers van Palo Alto Networks onlangs een aanval waarbij 2,5 terabytes aan data werd gestolen in minder dan veertien uur. Bedrijven moeten duidelijk weerbaarder worden. Die veerkracht moet van meet af aan worden ingebouwd en een inherent onderdeel van de bedrijfscultuur vormen.
Sancties
Wat onder felle discussie staat, is de strengheid van het wettelijk kader, met name de sancties. Bedrijven willen straffen vermijden en zullen daardoor misschien minder durven innoveren, zo luidt de argumentatie. Dit valt te begrijpen, vooral met de opkomst van veelbelovende ai-technologieën. NIS2 laat echter ook ruimte voor nieuwe ontwikkelingen ‘die de capaciteit en veiligheid van it-systemen verbeteren.’
Dankzij NIS2 is er nu een duidelijk, afgebakend kader
Een opvallende vaststelling is dat NIS2 vooralsnog weinig regels bevat over de detectiefase van een cyberaanval. Hopelijk zal de Implementing Act, die nog dit jaar verwacht wordt, concrete aanwijzingen bevatten voor het identificeren en voorkomen van kwaadaardig gedrag op een netwerk. Technologieën zoals ai en machine learning kunnen hier zeker bij helpen.
Een andere bedenking bij NIS2 is dat de uniforme standaarden moeilijk toepasbaar zijn van de ene sector op de andere. Wat geldt voor de financiële sector is bijvoorbeeld niet van toepassing op de maakindustrie, en omgekeerd. Gelukkig bestaan er sectorspecifieke regels. Dankzij NIS2 is er nu echter een duidelijk, afgebakend kader waarbinnen organisaties kunnen opereren, wat innovatie uiteindelijk alleen maar ten goede kan komen.
Cybersecurity
Ondanks de kritiek biedt NIS2 potentieel om innovatie in cybersecurity te stimuleren. Ten eerste maken nu veel meer actoren deel uit van de oplossing, waardoor de markt aanzienlijk groter wordt. En waar vraag is, ontstaat aanbod. In de komende jaren kunnen we nieuwe, ambitieuze technologieën verwachten die een deel van deze nieuwe markt willen veroveren.
Ten tweede zullen bedrijven nieuwe tools moeten omarmen om te voldoen aan de wetgeving. Denk aan geavanceerde dreigingsdetectie of snelle incidentrespons. Moderne incidentresponsplatformen zijn tegenwoordig al uitgerust met ai, waardoor veel sneller is te reageren op aanvallen. Ai helpt bijvoorbeeld ook bij webfiltering en het detecteren van zero-day-aanvallen.
Ten slotte moet NIS2 ook de samenwerking bevorderen tussen organisaties, stakeholders en de wetgever. Door het uitwisselen van best practices, kennis en nieuwe technologieën zijn grote stappen te zetten in de beveiliging van onze organisaties.
Aansprakelijkheid
Hoewel sommigen bezorgdheden hebben geuit over NIS2 – vooral op het gebied van sancties en persoonlijke aansprakelijkheid – wegen deze zorgen niet op tegen de innovatie die de richtlijn stimuleert. De nieuwe markt en de nauwere samenwerking tussen alle actoren maken de weg vrij voor een nieuw, beter – en uiteindelijk veiliger – Europees securitylandschap.
Broes Soetens is country manager BeLux bij Palo Alto Networks
Ben jij al NIS2-compliant?
17 oktober 2024 is de deadline, dan treedt de nieuwe Europese NIS2-richtlijn in werking die de beveiliging van netwerk- en informatiesystemen verder aanscherpt. De richtlijn stelt strengere eisen op het gebied van risicobeoordeling, incidentmeldingen en aansprakelijkheid. Het doel is de digitale weerbaarheid van Europese bedrijven en organisaties te vergroten. Ben jij al klaar voor die nieuwe verplichtingen? Werken aan je compliance kan via een masterclass die Computable recent met Cloudflare hield.