12min Security

Dutch Cybersecurity Assembly zet cybersecurity baseline op

Dutch Cybersecurity Assembly zet cybersecurity baseline op

De Dutch Cybersecurity Assembly zette deze week een nieuwe cybersecurity baseline op.
De nieuwe NIS2-richtlijn lijkt nog ver weg, maar omdat de gevolgen groot kunnen zijn, moeten bedrijven niet te lang wachten met actie. Ze hebben daar hulp bij nodig van onder meer de IT-sector. Daar was iedereen het over eens tijdens een nieuwe bijeenkomst van de Dutch Cybersecurity Assembly (DCA, voorheen DICA) in Kasteel De Hooge Vuursche in Baarn. Ook werd de eerste DCA-werkgroep gevormd.

Aan de ronde-tafel-discussie over NIS2 deed een mooie groep inhoudelijk sterke deelnemers mee, met uiteenlopende achtergronden. Met meerdere MSP’s, een aantal brancheverenigingen, een in security gespecialiseerde advocaat, iemand van een bedrijf dat onder de vleugels van een verzekeraar valt en de initiatiefnemers Datto en Dutch IT Channel was er zeer veel kennis aanwezig om uit te kunnen wisselen.

Maar voordat dat gebeurde, vertelde Hans ten Hove van Datto kort over de plannen van de DCA. Na meerdere geslaagde sessies waarin belangrijke onderwerpen zijn geagendeerd en conclusies zijn getrokken is het nu tijd om impact te maken. Naast de bestaande bijeenkomsten gaat de DCA zich ook bezighouden met onderzoek en worden er denktanks en werkgroepen gevormd. “De kracht zit daarbij in het versterken van elkaar en het bouwen van bruggen tussen de deelnemende organisaties”, aldus Ten Hove. “Met als uiteindelijke doel om de BV Nederland een stukje veiliger te maken.”

Van tientallen naar duizenden

Daarna werd het onderwerp NIS2 aangesneden. Een deelnemer die dicht op het vuur zit, begon met een uitleg over wat NIS2 precies is. De bestaande Europese richtlijn voor netwerk- en informatiebeveiliging (NIS), die in Nederland is uitgewerkt in de Wet beveiliging netwerk- en informatiesystemen (Wbni), stelt dat bepaalde vitale partijen aan een hoog beveiligingsregime moeten voldoen. Die wet wordt binnenkort uitgebreid, waardoor er veel meer partijen onder vallen. “Van tientallen bedrijven die hier rechtstreeks onder vallen, gaan we naar duizenden bedrijven.”

Waarschijnlijk komen er twee gradaties, essentiële en belangrijke bedrijven, met verschillende criteria. “Essentiële bedrijven moeten waarschijnlijk voor- en achteraf bewijzen dat ze aan richtlijnen voldoen. Belangrijke bedrijven hoeven dat alleen achteraf te bewijzen.” Onder andere MSP’s zullen ook onder de wet gaan vallen.

NIS2 moet ook een oplossing bieden voor het onderwerp ‘ketenveiligheid’: het voorkomen dat een aanval doorwerkt richting andere partijen in de keten. Door die ketenbepalingen moeten ook de toeleveranciers van cruciale bedrijven aan voorwaarden voldoen. “In de IT-sector zal waarschijnlijk iedereen onder NIS2 gaan vallen: ofwel rechtstreeks, ofwel indirect”, zo zei dezelfde insider.

Persoonlijk aansprakelijk

Niet alles over de nieuwe wet is al bekend, maar er zullen zeker meer verplichtingen over het melden van aanvallen komen. Onduidelijk is nog welke bedrijven onder welke richtlijnen gaan vallen en ook hoe je als bedrijf moet gaan bewijzen dat je het juiste niveau van beveiliging hebt. “Heel belangrijk detail is dat de directie van bedrijven persoonlijk aansprakelijk wordt voor het conformeren aan deze wetgeving”, zo werd uitgelegd.

De nieuwe wet wordt naar alle waarschijnlijkheid in de herfst van 2024 actief. Na de definitieve goedkeuring in de EU, die elk moment kan plaatsvinden, krijgen lidstaten 21 maanden de tijd om de richtlijn te verwerken in hun eigen wetgeving.

Onder de deelnemers aan de DCA-bijeenkomst was er veel angst dat de nieuwe wet een papieren tijger wordt, waarbij er veel discussie blijft bestaan over welke bescherming voldoende is en het ook niet duidelijk is wie dat beoordeelt. Het is zeker de vraag of bedrijven er klaar voor zijn. Er ligt, zo zei iemand, een belangrijke taak voor de overheidsinstellingen NCSC (Nationaal Cyber Security Centrum) en DTC (Digital Trust Center), die binnenkort samen zullen gaan. “Zij moeten de verantwoordelijkheid nemen om bedrijven en instellingen te begeleidingen bij deze nieuwe verantwoordelijkheid. Daarnaast moet er helderheid komen over waar je aan moet voldoen. Zeker omdat mensen persoonlijk aansprakelijk gesteld kunnen worden.”

Ketenaansprakelijkheid

Brancheverenigingen hebben ook een rol, zei iemand anders. “De wetgeving gaat geen helderheid bieden over welke afwegingen je als bedrijf precies moet maken. De AVG was ook niet duidelijk over wat adequaat beveiligen is. Deze richtlijn zal dat ook niet zijn. Dat komt ook omdat de afwegingen branche-specifiek zijn. Wat voor de een noodzakelijk is, is dat niet per se voor de ander. Daar kunnen brancheverenigingen een rol in spelen met een objectieve maatstaf of, bij voorkeur, een certificering.” Iemand van een branchevereniging benadrukte daarbij het belang om met meerdere partijen samen op te trekken.

Ook de functie van verzekeraars is belangrijk, werd gezegd. “Zij kunnen bijdragen aan het afdwingen van maatregelen bij MKB’ers. Klanten zullen die eisen bij het afsluiten van een cybersecurity-verzekering makkelijker accepteren, dan wanneer ze van een MSP komen. Misschien moet er een verplichte cyberverzekering komen, net zoals een verplichte zorgverzekering.” “Verzekeraars zitten op het gebied van cybersecurity totaal niet op één lijn”, waarschuwde iemand anders. “Een deel bouwt het nu al af, omdat de risico’s te groot worden. De dekking wordt vaak ook uitgekleed.”

De ketenveiligheid en ketenaansprakelijkheid zijn een heel belangrijk aspect van NIS2. Iemand van een branchevereniging vertelde hoe zijn leden, MSP’s of dienstverleners, in het beklaagdenbankje zijn komen te zitten omdat een eindklant zijn veiligheid niet op orde had. “Je moet dat heel goed regelen en daar eigenlijk zelfs een log van bijhouden. Daar zit je zorgplicht. Dat adviseren we nu al, maar binnenkort wordt dat waarschijnlijk bij wet geregeld.” Deze persoon baalt van de onduidelijkheid die er nu is. “Over heel veel onderwerpen zien we nog grijs, bijvoorbeeld over een nieuw Europees certificering-framework voor cybersecurity dat in plaats van de ISO-certificering moet gaan komen. Ook daarover is nog veel onduidelijk.”

Het gaat om het samenspel in de keten, benadrukte iemand. “Als verzekeraars samenwerken met de brancheverenigingen, kun je zorgen dat ondernemers in het MKB die onder deze wetgeving vallen een vangnet hebben. Zij gaan nooit voor honderd procent aan deze wet voldoen, want die middelen hebben ze niet. Maar als ze zonder schaamte durven te melden dat ze getroffen zijn en daarna met de support van alle instanties snel weer in de lucht zijn, is er al veel gewonnen. Dan wordt Nederland ook minder interessant voor hackers.”

Sluitpost op de begroting

Het probleem blijft dat MKB’ers de risico’s niet zien. “Die denken er bij een aanval op hun IT-omgeving aan dat hun pc het niet doet, of dat ze niet in hun CRM-applicatie kunnen. Ze denken niet aan bijvoorbeeld de koelinstallatie die geraakt kan worden en voor een miljardenschade kan zorgen. De kloof qua bewustwording tussen de IT-sector en de MKB-bedrijven is gewoon heel groot.” “Daarom moeten IT-bedrijven trusted advisors zijn”, vulde iemand aan. Probleem is wel dat eindklanten al snel denken dat een IT-partner aan het verkopen is, als hij of zij over extra benodigde securitymaatregelen begint. “Security blijft een sluitpost op de begroting.”

Iemand had daar een creatieve oplossing voor. “Eigenlijk moet je zeggen: ‘Dit is de offerte, inclusief cybersecurity. Als je daar dingen uit weg wilt halen: prima, maar dan kost het meer, want het zorgt ervoor dat ook ik meer risico loop.” Een leuk idee, vond iedereen. De vraag is of het realistisch is. “MKB’ers krijgen het nu allemaal al niet meer weggezet. Extra investeren in security betekent dat ze in hun prijzen niet meer concurrerend kunnen zijn.” Maar die extra kosten staan niet in verhouding tot de kosten van een geslaagde aanval, counterde iemand anders.

Hoe ver gaat de verantwoordelijkheid van MSP’s als NIS2 straks van kracht is? Dat is nog onduidelijk. “Je bent verantwoordelijk voor de diensten die je levert. Niet voor hoe het gebruikt wordt door de klant”, verduidelijkte iemand toen daarover onduidelijkheid ontstond. Maar of je wel of niet verantwoordelijk bent voor een klant die ‘Welkom123’ als wachtwoord kiest, wist niemand met zekerheid te zeggen. “Misschien wordt multifactor-authenticatie en een goed wachtwoordbeleid wel iets dat je als MSP van de wet móet gaan eisen.”

De meest zichtbare MSP’s lijken zich bewust van de problematiek. “Maar er zijn 2000 tot 4000 dienstverleners met een MSP-achtige rol. In de staart van dat peloton zitten ook nog partijen die er met hun oren bij moeten worden getrokken. Het probleem ligt echt niet alleen bij de eindklanten.”

Eerste werkgroep

MSP’s moeten het richting hun klanten heel concreet maken, zodat organisaties weten wat ze moeten doen. Iemand zei: “Dan heb je het dus over een baseline, waarover we vaker hebben gesproken aan deze tafel. Een lijst met bijvoorbeeld tien concrete punten waar je echt aan moet voldoen.”

De DCA, met betrokkenen van allerlei bloedgroepen, zou een ideale partij zijn om zo’n baseline samen te stellen, zo is bij de bijeenkomsten al vaker geconcludeerd. Toen werd er, net als nu, ook geopperd om de vijf basisprincipes van het DTC te omarmen. Daarmee voorkom je dat het doel om een overkoepelende standaard te maken er alleen maar toe leidt dat er wéér een nieuwe standaard komt. Het geeft je indirect ook de goedkeuring van de overheid. Dat komt bij eindklanten sterker over en zorgt ervoor dat ze niet het idee hebben dat je iets probeert te verkopen.

De lijst met basisvoorwaarden van het DTC is een goede basis, maar een aantal uitbreidingen is wenselijk, zo was de algemene opinie. Het getal van tien kwam vaak langs als het ging om het aantal punten. Wanneer de lijst unaniem wordt gedragen door alle bij de DCA betrokken organisaties, kan hij een soort overkoepelende rol krijgen in veel markten. Wellicht moet zo’n lijst branche-afhankelijk zijn, zo werd ook geopperd. Er moet ook worden geluisterd naar de input van MSP’s die vanuit het veld weten wat de meest urgente punten zijn, bij kleine en grotere bedrijven.

Uitdragen en verkondigen

Je moet de lijst simpel houden, zo werd door diverse deelnemers benadrukt. Ook moet hij worden uitgedragen door autoriteiten. “Voor een hoteleigenaar is hun vaste partner de autoriteit. Maar MKB Nederland is dat ook. Net als de brancheverenigingen. Het kan ook via een Postbus 51-reclame.”

Het is belangrijk dat ook de DCA zijn rol pakt bij het verkondigen van de baseline, zo stelden meerdere deelnemers. “Dat moet je doen bij de lokale ondernemers, met ontbijtsessies door het land heen, bijvoorbeeld.” Ook werd het idee gesuggereerd om, na de totstandkoming van de baseline, onderzoek te doen over hoeveel bedrijven aan de baseline voldoen, wat interessante uitkomsten kan bieden, ook voor media.

Er bleek veel belangstelling om in een werkgroep betrokken te zijn bij het maken van zo’n baseline. Alle leden staken hun hand op en meldden zich aan. Zo werd het startsignaal gegeven voor de eerste DCA-werkgroep. Die gaat zich dus bezighouden met een te vormen baseline, niet per se met NIS2. “Maar het is wel slim om het in het verlengde van NIS2 te doen”, zei iemand. “Misschien moet je die koppeling nu nog niet maken. Maar over een jaar, als iedereen wakker wordt rondom NIS2, dán wel”, voegde een andere deelnemer toe. “Dan kun je bedrijven min of meer zeggen: als je hieraan voldoet, ben je klaar voor NIS2.”

Iemand stelde voor om een verzekeraar erbij te betrekken die veel inzicht heeft in waar incidenten ontstaan. Die nuttige informatie mogen ze vaak niet publiek delen, maar in een veilige setting kan dat wel.

Het MKB is de meest voor de hand liggende doelgroep voor de baseline. Maar enterprises mogen niet vergeten worden. Sommigen zijn in control en zullen zo’n baseline niet serieus nemen, omdat ze al veel verder zijn. Andere enterprises zijn niet meer dan een verzameling van veel verschillende afdelingen of sub-bedrijven die stuk voor stuk ‘MKB-gedrag’ vertonen, zo vond een deelnemer.

Kans of bedreiging

Afsluitend werd de vraag gesteld of NIS2 een kans of een bedreiging voor de IT-branche is. “Het is een bedreiging, maar we kunnen er een kans van maken”, zei iemand. “Veel IT-partners willen wel meer security leveren, maar ze lopen aan tegen de directies van bedrijven die niet willen accepteren dat de benodigde IT-beveiliging vandaag de dag een heel ander prijskaartje heeft dan tien jaar geleden. Het verhogen van de eisen is eng, maar kan de sector wel beter en betrouwbaarder maken.” Iemand anders zei: “Als NIS2 markt-zuiverend werkt, is het een prima maatregel. Maar als het markt-differentiërend werkt, dan is dat zorgelijk.”

De IT-sector moet het heft in handen nemen. “Als wij niet proactief met iets komen, moeten we ook niet klagen als er iets over ons wordt afgeroepen wat niet blijkt te werken.” Iemand vulde aan: “De MSP-sector moet onderdeel zijn van wat er nu gebeurt, maar voorkomen dat klanten het gevoel krijgen dat het hún verhaal is, met een commercieel motief. Er is echt een soort stempel van de overheid nodig.”

“De komende 21 maanden worden een zoektocht, waarin we er alles aan moeten doen om iedereen er zo goed mogelijk op voor te bereiden”, zei iemand van een branchevereniging. “Hoe meer manieren er zijn om het hier met bedrijven over te hebben, hoe beter. Dan kunnen we vervolgens ook gerichte vragen stellen aan de ministeries van JenV en EZK.”

Er werd afsluitend nog kort gesproken over geschikte onderwerpen voor andere werkgroepen. Ransomware werd daarbij genoemd. Het aantal ransomware-aanvallen zal de komende tijd alleen maar verder toenemen, zo verwachtte iemand. Bedrijven hebben nog veel uitdagingen. Hoewel er zeker overlap is met de werkgroep die zich gaat buigen over een baseline, kan een aparte ransomware-werkgroep, wellicht in kleinere vorm, ook toegevoegde waarde hebben.

Lees ook:
  • Wettelijke plicht nodig voor digitalisering ziekenhuizen
  • Qualys: ‘Groeiende complexiteit rondom security heeft compleet inzicht nodig’