Uit ervaring weet ik dat ondernemers die kennis hebben gemaakt met cybercriminelen, zich vaak machteloos voelden omdat zij de grip op hun bedrijf kwijtraakten. Zij begrijpen als geen ander hoe belangrijk cyberbeveiliging is voor de continuïteit van hun bedrijf. De NIB2 richtlijn, waarover de EU-lidstaten en het Europees parlement afgelopen woensdag 22 juni een politiek akkoord over bereikten, is dan ook niet in eerste instantie voor hen geschreven. De NIB2 richtlijn is geschreven voor hen die er nog vanuit gaan dat cybercriminelen hun deur voorbij gaan en is bedoeld als stok achter de deur om in ketens en sectoren een hoog beveiligingsniveau te waarborgen.
De herziene Netwerk- en Informatiebeveiligingsrichtlijn, de zgn. NIB2 richtlijn, is de opvolger van de huidige NIB richtlijn, die een hoog niveau van beveiliging verplicht stelt voor aanbieders van essentiële diensten en digitale partijen en een meldplicht kent van cyberincidenten. Het hoge beveiligingsniveau en de meldplicht cyberincidenten blijven onverkort gehandhaafd.
Wat verandert er?
Uitbreiding toepassingsbereik
Het aantal sectoren dat onder de NIB2 richtlijn gaat vallen, wordt fors uitgebreid. Er is een nieuwe indeling van categorieën van bedrijven, namelijk bedrijven die essentiële diensten aanbieden – hierna de essentiële bedrijven – en belangrijke bedrijven. Tot de sectoren die essentiële diensten aanbieden, horen straks ook onder meer de gezondheidszorg en het openbaar bestuur, chemie en voedings- en levensmiddelenindustrie. Deze sectoren moeten zich gaan voorbereiden op de implementatie van de NIB2-richtlijn.
Melden van kwetsbaarheden en CVD-procedures
Er blijft een plicht om cyberincidenten binnen 24 uur te melden. Dat is een reactieve maatregel. De herziene richtlijn besteedt echter ook aandacht aan preventieve maatregelen, zoals het inrichten en implementeren van procedures voor het melden van kwetsbaarheden. Het melden van kwetsbaarheden noemen we ook wel Coordinated Vulnerability Disclosure (CVD). Zie als voorbeeld het CVD beleid van First Lawyers.
Bedrijven die ICT-systemen ontwikkelen, moeten passende procedures vaststellen om kwetsbaarheden aan te pakken wanneer deze worden ontdekt. Aangezien kwetsbaarheden vaak door derden wordt ontdekt en gemeld, moet de fabrikant of aanbieder van ICT-producten of– diensten ook de nodige procedures invoeren om kwetsbaarheidsinformatie van derden te ontvangen. ISO normen (ISO /IEC 30111 en ISO / IEC 29417) bieden richtsnoeren voor de respons op kwetsbaarheden en het bekendmaken van kwetsbaarheden. Contracten tussen bedrijven en ICT-leveranciers moeten daarop worden aangepast.
Rol toeleveringsketen
Essentiële bedrijven moeten verder de producten en cyberbeveiligingspraktijken van hun leveranciers en dienstverleners beoordelen op cyberbeveiligingsrisico’s en er rekening mee houden. Ook dat is nieuw. Zij moeten daarnaast zorgvuldigheid betrachten bij de selectie van aanbieders van incident respons, penetratietesten, beveiligingsaudits en consultancy. Ook zij spelen immers een belangrijke rol in het opsporen van incidenten en hun reactie daarop. Er is een noodzaak voor het effectief organiseren van de bedrijfsjuridische functie (of legal operations) dat gericht is op partners risicomanagement, contracteren en contractmanagement.
Andere maatregelen voor beheer van cyberbeveiligingsrisico’s
Niet nieuw, maar wel een belangrijke opdracht voor essentiële en belangrijke bedrijven is dat zij passende en evenredige technische en organisatorische maatregelen nemen om beveiligingsrisico’s te beheren. Het doel is het realiseren van een hoog beveiligingsniveau. Deze maatregelen moeten volgens de NIB2 richtlijn tenminste omvatten:
- Risicoanalyse en -beleid
- Incidenten: preventie, opsporing en respons
- Bedrijfscontinuïteit en crisisbeheer
- Beveiliging van toeleveringsketen
- Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief de respons op en bekendmaking van kwetsbaarheden
- Testen en audits om effectiviteit van maatregelen te beoordelen
- Gebruik van cryptografie en encryptie.
Wat is de forecast?
De richtlijn wordt naar verwachting in de herfst van dit jaar gepubliceerd. De lidstaten krijgen dan 21 maanden om de richtlijn om te zetten naar nationale wetgeving. Naar verwachting zal de implementatiewet medio 2024 van toepassing worden. Dat lijkt lang, maar het treffen van voorbereidingen zal de nodige tijd in beslag gaan nemen.
Voorbereid zijn met de bedrijfsjuridische functie (legal operations)
De vorige keer schreef ik over het belang van legal operations voor het voorkomen van cybercrime. Met legal operations kan ook geanticipeerd worden op de contracten die in de toeleveringsketen conform de NIB2 richtlijn moeten worden gesloten en op het inrichten en afhandelen van meldingen van kwetsbaarheden. Als voorzitter van de Contract Board kan ik melden dat we de NIB2 richtlijn op korte termijn zullen verwerken in in ieder geval de contractportfolio’s ICT en Inkopen. Essentiële en belangrijke bedrijven moeten in hun contracten met ICT-leveranciers immers aandacht besteden aan de vereisten van de NIB2 richtlijn, waaraan zij aantoonbaar moeten voldoen. Dat geldt al vanaf de fase van inkoop en aanbesteding. Gebruikers van MYOBI hebben toegang tot deze contractportfolio’s.
De Contract Board heeft al recent CVD-contracten, CVD-beleid en bijbehorende draaiboeken vastgesteld en opgenomen in de contractportfolio’s. Sinds kort zijn deze beschikbaar. Mocht u geïnteresseerd zijn, dan zijn wij graag bereid om deze voor u bedrijfsspecifiek te maken zodat u ze kunt implementeren in uw organisatie. Het voorhanden hebben van CVD-beleid, -procedures en -contracten is immers een belangrijke beveiligingsmaatregel, die u nu al kunt treffen.
Meer weten?
Neem contact op met mr. dr. A.W. (Anne-Wil) Duthler via 070 306 00 33 of a.w.duthler@firstlawyers.nl.