In deze driedelige serie belicht KED de Europese component van de ontwikkeling van digitale vaardigheden. In het derde en laatste deel worden vaardigheden voor cyberveiligheid in het kader van de Network en Information Security Directive (NIS2-richtlijn) behandeld.
Op Europees niveau wordt ingezet op het bevorderen van digitale vaardigheden bij zowel achterblijvende groepen als ICT-professionals. Met de NIS2-richtlijn creëert de EU-wetgeving over cyberveiligheid voor heel Europa. In Nederland wordt dit omgezet naar nationale wetgeving in de vorm van de Cyberbeveiligingswet (Cbw). De richtlijn bouwt op de eerdere NIS-verordening en stelt cyberveiligheidseisen op waar decentrale overheden aan moeten voldoen.
Wat houdt de NIS2 in?
Om te beginnen is het nuttig uit te leggen wat de NIS2 inhoudelijk zegt over cyberveiligheid. Het doel van de NIS2-richtlijn is om het algemene cyberveiligheidsniveau in de Europese Unie (EU) te verhogen door de risico’s die netwerk- en informatiesystemen bedreigen te verkleinen. De Richtlijn creëert onder andere verplichtingen voor zogenaamde ‘essentiële en belangrijke entiteiten’ om ze bestendiger te maken tegen cyberdreigingen.
Onder de NIS2 worden centrale en regionale overheden beschouwd als essentiële entiteiten. Het Nederlandse wetsvoorstel voor de Cbw bevestigt dat provincies, gemeenten en waterschappen inderdaad essentiële entiteiten zijn en dat zij dus ook aan bepaalde verplichtingen moeten voldoen.
De NIS2 had op 17 oktober omgezet moeten zijn in nationale wetgeving. Nederland loopt echter achter en de Europese commissie heeft dan ook een aanmaningsbrief gestuurd. Ondanks dat de omzetting dus nog onvolledig is, kunnen – en wellicht zelfs moeten – decentrale overheden al wel voldoen aan de NIS2. Hierover hebben wij eerder een praktijkvraag geschreven.
Plichten onder de NIS2
De NIS2 schrijft drie grote verplichtingen voor: de zorgplicht, de meldplicht en de registratieplicht.
- Zorgplicht; Dit houdt in dat decentrale overheden zelf risicoanalyses moeten uitvoeren voor hun netwerk- en informatiesystemen en op basis daarvan maatregelen moeten treffen.
- Meldplicht; Dit houdt in dat decentrale overheden bij significante cyber-incidenten binnen 24 uur een melding moeten maken bij het Computer Security Incident Response Team (CSIRT) en het Nationaal Cyber Security Centrum (NCSC). De overheid moet vervolgens de ernst van het incident bepalen en er een rapport over opstellen.
- Registratieplicht; Decentrale overheden zijn verplicht om zich te registreren bij het NCSC.
Ter controle van het naleven van deze plichten is ook een toezichthouder. De Rijksinspectie Digitale Infrastructuur (RDI) is verantwoordelijk voor het toezicht op de naleving van de NIS2 door de decentrale overheden.
NIS2 en cyberveiligheid-vaardigheden
De duiding van decentrale overheden als essentiële entiteiten is van belang, omdat zij hierdoor maatregelen moeten nemen om deze wet uit te voeren. Dat zijn in principe risicobeheersmaatregelen, die nodig zijn om deze verplichtingen na te komen. Risicobeheersing (op het gebied van cyberdreigingen) vereist bepaalde inzichten en kennis om mogelijke problemen te signaleren en correct te handelen. Het gaat inderdaad om een vaardigheid.
De NIS2 erkent dit ook. In artikel 20, lid 2 van de Richtlijn, stelt het volgende:
“De lidstaten zorgen ervoor dat de leden van de bestuursorganen van essentiële en belangrijke entiteiten een opleiding moeten volgen, en moedigen essentiële en belangrijke entiteiten aan om regelmatig een soortgelijke opleiding aan hun werknemers aan te bieden, zodat zij voldoende kennis en vaardigheden verwerven om risico’s te kunnen identificeren en risicobeheerspraktijken op het gebied van cyberbeveiliging en de gevolgen ervan voor de diensten die door de entiteit worden verleend, te kunnen beoordelen.”
Het belang van leiderschap bij crisisbeheersing wordt voorop geplaatst, maar evengoed wordt cyberveiligheid gezien als iets wat door een gehele organisatie opgepakt moet worden. Daarnaast benadrukt bovenstaand artikel ook dat de opleidingen voor cyberrisicobeheersing niet eenmalig zijn. Het regelmatig bijwerken en in stand houden van kennis en vaardigheden past bij het feit dat de cyberrisico’s meebewegen met technologische ontwikkeling en dat cyberveilig handelen continue aandacht vereist.
Organisatorische opgave
Aansluitend hierop is het ook belangrijk om te realiseren dat cyberveiligheid een organisatorische opgave is. Artikel 21 van de NIS2-richtlijn erkent dit ook in het definiëren van de technische, operationele en organisatorische maatregelen die genomen moeten worden om risico’s te beheren. Lid 2, sub g, van dit artikel verlangt dat het personeel wordt opgeleid of getraind in cyberveiligheid. Ze moeten zich bewust zijn van de mogelijke cyberdreigingen, deze kunnen herkennen en weten hoe ze moeten reageren.
Het is niet onverwachts dat de NIS2 ook op dit niveau cyberveiligheid probeert te bevorderen. De Richtlijn zorgt er namelijk voor dat zelfs het lokale deel van de publieke sector, in Nederland de decentrale overheden, meegenomen wordt in het cyberveilig maken van de EU als geheel. Op een vergelijkbare manier vraagt de NIS2 ook dat essentiële en belangrijke entiteiten al hun werknemers meenemen bij het gebruik van digitale technologie. Dit maakt de organisatie als geheel namelijk sterker.
Cyberhygiëne
Bij cyberveilig handelen wordt ook veel gesproken over cyberhygiëne. Net als bijvoorbeeld met handen wassen is cyberveilig handelen iets wat je regelmatig op een goede wijze moet doen voor je ‘digitale gezondheid’. Het Digital Trust Center (DTC) van het Ministerie van Economische Zaken en NCSC hebben vijf basisprincipes van digitale weerbaarheid geïdentificeerd. Als een organisatie zich hier dagelijks mee bezig houdt, wordt deze bestendiger tegen dreigingen.
De vijf principes zijn:
- Identificeer risico’s voor je organisatie.
- Bevorder veilig gedrag.
- Beschermen je systemen, applicaties en apparaten.
- Beheer de toegang tot data en diensten.
- Bereid je voor op incidenten.
Cyberhygiëne houdt dus in dat je regelmatig en goed deze taken uitvoert. In de praktijk betekent dit het uitvoeren van software- en hardware-updates, het wijzigen van wachtwoorden, het beheer van nieuwe installaties, het beperken van toegangsaccounts op beheerdersniveau en het back-uppen van gegevens.
Veilig gedrag
Het is duidelijk dat cyberveilig gedrag een continu aandachtspunt is en dat het de nodige zorg verdient. De vervolgvraag is: hoe waarborg je dit binnen je organisatie? In antwoord op deze vraag benadrukt het basisprincipe over veilig gedrag twee belangrijke componenten om veilig gedrag te bevorderen:
- Er moet een veilige cultuur zijn om fouten en incidenten te melden.
- Er moeten opleidingen en trainingen worden aangeboden om medewerkers te informeren over hoe zij veilig met systemen omgaan en handelen in noodsituaties.
Meldcultuur
De cultuurkwestie is een organisatievraagstuk, die vereist dat de drempels voor het melden van incidenten verlaagd worden. Het moet makkelijk zijn om een incident te melden en een goede reactie van de omgeving is noodzakelijk om dit gedrag te belonen en stimuleren. Mocht een organisatie een onvoldoende veilige meldcultuur hebben, dan worden er mogelijk incidenten niet of te laat gedetecteerd en opgelost. Dit leidt weer tot grotere schade.
Voorbereiding
Binnen de opleidingen en trainingen is er natuurlijk een organisatieafhankelijk component. Iedere organisatie werkt immers met andere systemen. Toch zijn er bepaalde aspecten die voor iedereen nuttig zijn. Werknemers kunnen bijvoorbeeld trainingen krijgen over het herkennen van phishing e-mails of bewustwordingssessie over malware. Op deze manier voorkom je dat een medewerker per ongeluk iets opent of downloadt waardoor gevaarlijke software de systemen van een organisatie binnendringen. Zulke trainingen of bewustwordingsprogramma’s kunnen door de organisatie zelf worden opgesteld, maar externe hulp en opleidingen worden ook aangeboden door het NCSC zelf en door andere organisaties.
Daarnaast is het ook cruciaal om goede wachtwoorden in te stellen, die niet zomaar te raden zijn. Wachtwoordmanagers kunnen hierbij helpen, omdat diverse wachtwoorden voor verschillende systemen op deze manier makkelijk opgeslagen kunnen worden. Dit verhoogt de veiligheid van meerdere systemen zonder dat het veel meer werkdruk op de werknemer legt. Ook het aanmaken van Multi-Factor Authentication, waarbij naast een wachtwoord tegelijkertijd ook een andere aanmeldingsvorm wordt gebruikt, draagt bij aan digitale veiligheid.
Informatiebeveiliging binnen decentrale overheden
Bij de omzetting van de NIS2 in de Cyberbeveiligingswet wordt het voor decentrale overheden verplicht om de Baseline Informatiebeveiliging Overheid 2 (BIO2) toe te passen. BIO is een normenkader voor informatiebeveiliging en geeft het basisniveau voor informatiebeveiliging waar alle overheidsorganisaties in Nederland aan moeten voldoen. Het brengt Nederlandse veiligheidscontroles in lijn met internationale standaarden, vastgelegd in de ISO/IEC 27002. De BIO2 is nog in voorbereiding en nog niet officieel vastgesteld, maar er is wel een handreiking gemaakt om overheden alvast op weg te helpen.
Onder het kopje ‘mensgericht’ wordt in de BIO2 aandacht gegeven aan vaardigheden. Niet verrassend, wordt ook daarin bewustwording en opleiding centraal gezet. Training in informatiebeveiliging is het uitgangspunt van de huidige noodzakelijke stappen voor cyberveiligheid. Als decentrale overheden hierop inzetten, zullen ze grote stappen richting cyberveiligheid zetten en bijdragen aan NIS2-compliance.
Bronnen
NIS2-richtlijn, Digitale Overheid
Bereid je voor op Cyberbeveiligingswet (NIS2), Nationaal Cyber Security Centrum
Cyberhygiëne, Digital Trust Center
NIS2-startpunt, Digital Trust Center
Praktijkvraag NIS2, KED