Hoe Nederland beter beschermd wordt door de NIS2-richtlijn

Met de nationale implementatie van de NIS2-richtlijn wordt Nederland beter beschermd tegen cyberaanvallen. Geen overbodige luxe. En een uitgelezen mogelijkheid om ook de beveiliging van onze bruggen, fabrieken, spoorverbindingen en ziekenhuizen (zogenaamde Operationele Technologie) goed te verankeren, constateert Hague-adviseur Pieter Hanson.

De implementatie van de NIS2-richtlijn komt op een goed moment. In de afgelopen jaren is de cybersecuritydreiging steeds verder toegenomen. In 2022 steeg het aantal cyberaanvallen in Nederland met 55% ten opzichte van een jaar eerder. Bijna de helft van onze bedrijven heeft met cyberdreiging te maken gehad. Op mondiaal niveau is het beeld zelfs nog verontrustender: elke elf seconden wordt een bedrijf slachtoffer van ransomware. De totale schade bedraagt inmiddels 5,5 biljoen euro per jaar.

Striktere maatregelen voor iedereen

Dit verslechterende dreigingsbeeld was al in december 2020 reden voor de Europese Commissie om in actie te komen en de bestaande NIS-richtlijn (Netwerk- en Informatiesystemen) te vervangen met een gemoderniseerde versie. Met de invoering van deze nieuwe NIS2-richtlijn wordt de toepassingsruimte ruimer en gaan regels voor de beveiliging van digitale diensten ook voor decentrale overheden gelden. Dit betekent dat ongeveer vierduizend instellingen in Nederland striktere maatregelen moeten nemen om cybersecurityrisico’s het hoofd te bieden. Ook worden nationale autoriteiten verplicht om naleving van de regels uit NIS2 veel strenger te controleren en te handhaven.

Qua uitbreiding van het toepassingsgebied wordt met name gekeken naar sectoren die van cruciaal belang zijn voor de samenleving, onze economie en democratie. Dit betreft energie, vervoer, drinkwater, afvalwater, digitale infrastructuur, chemie, voeding, industrie, post- en koeriersdiensten, voeding, afvalbeheer, ruimtevaart (inclusief satellieten), overheidsdiensten en financiële marktinstellingen. Deze sectoren – alsmede middelgrote en grote ondernemingen – worden verplicht tot strengere beveiligings- en rapportage-eisen en zwaardere beveiligingsvoorschriften. Partijen die hun cybersecurity niet voldoende op orde hebben kunnen rekenen op hogere boetes, oplopend tot ten minste 10 miljoen euro of twee procent van de mondiale omzet.

Hoe ziet dit eruit in de praktijk?

De finale teksten van de NIS2-richtlijn gingen eind vorig jaar naar de 27 lidstaten, die in totaal 24 maanden hebben om de nieuwe regels in nationale wetgeving om te zetten. Op dit moment – en in de komende maanden – wordt op Nederlandse ministeries hard gewerkt om dit voor elkaar te krijgen. In de praktijk betekent dit een aanpassing van de Wbni (Wet beveiliging netwerk- en informatiesystemen). Gesprekken met cybersecurity-coalities vinden plaats, er staan een openbare consultatie en een informatiecampagne gepland, en er zijn interdepartementale werkgroepen opgericht, waarbij met name de ministeries van EZK, Defensie, I&W en J&V het voortouw nemen. In de tussentijd heeft het Agentschap Telecom, waar straks cyberincidenten moeten worden gemeld, de eigen naam alvast tot Rijksinspectie Digitale Infrastructuur (RDI) omgedoopt.

Niet alleen IT- maar ook OT-security

De aanpassing van de Wbni is een perfecte mogelijkheid om cybersecurity in het hart van belangrijke organisaties te brengen. Daarnaast biedt het een gelegenheid om meer balans te brengen in de relatie tussen IT en OT. Cybersecurity gaat vaak over informatietechnologie (IT) en het beschermen van privacy en data, maar even belangrijk is het beschermen van strategische objecten en cruciale systemen, zogenaamde operationele technologie (OT, in afkorting).

Ook in Nederland zijn inmiddels miljarden apparaten, gebouwen, machines en voorzieningen met het internet verbonden. Denk aan liftsystemen in een ziekenhuis, het spoor, allerlei bruggen en waterwerken, energiecentrales, verkeersregeling en fabrieken. Het vastlopen van dit soort systemen heeft een enorme (ontwrichtende) impact op bijvoorbeeld onze maakindustrie, gezondheidszorg, energievoorziening, allerlei publieke/vitale infrastructuur en de voedselproductie. Ook omdat dit soort voorzieningen – in tegenstelling tot een IT-systeem – niet zomaar (langer) kunnen worden stilgelegd voor een viruscheck, update of een reparatie.

Desastreuze gevolgen

Net als bij IT neemt ook het dreigingsbeeld bij OT toe. Uit het onderzoek The State of Industrial Cyberscurity blijkt dat 89% van de elektriciteits-, olie, gas- en productiebedrijven in 2021 te maken had met cyberaanvallen die van invloed waren op de productie en energievoorziening. Een enorm risico voor wie zich realiseert dat een gemiddelde OT-aanval 2,8 miljard euro schade oplevert en dat het gemiddeld 200 dagen duurt voordat de getroffen bedrijven en instellingen door hebben dat er digitaal is ingebroken.

Op zo’n moment zijn gevolgen mogelijk al niet meer te overzien. Zo werd in 2021 een waterzuiveringsinstallatie in Florida overgenomen door hackers, waarna zij controle kregen over de chemische samenstelling van het water. Hun ingang: een standaard wachtwoord dat nooit was gewijzigd. Gelukkig werd de hack verijdeld door een zeer oplettende medewerker.

Maar dat gebeurde helaas niet bij de verwoestende Solarwinds-aanval die tal van Amerikaanse overheidsinstellingen trof, waaronder het Pentagon en het Ministerie van Financiën. En ook niet toen hackers erin slaagden om het bedrijf Colonial Pipeline plat te leggen, waarna miljoenen inwoners aan de Amerikaanse oostkust met brandstoftekorten werden geconfronteerd. Cybercalamiteiten die we in Nederland liever willen voorkomen.

Meer weten over cybersecurity en de nationale implementatie van de NIS2-richtlijn? Neem contact op met Pieter Hanson.