Op 26 september was het tijd voor het jaarlijkse LCL Wallonia One Event. De aanwezigen konden niet alleen genieten van fantastisch eten en drinken, maar ook van interessante activiteiten en presentaties. De presentaties van dit jaar stonden allemaal in het teken van beveiliging. Arnaud Martin, Expert Cyber Security Regulation & Standardisation bij Agoria, hielp ons dieper in te gaan op de nieuwe Network and Information Security Directive (NIS2). NIS2 is een belangrijke wettelijke update van de Europese Unie, die bedoeld is om de cyberbeveiliging te versterken en kritieke infrastructuur te beschermen. Blijf lezen om te ontdekken wat de impact kan zijn op de cyberbeveiliging van datacenters.

Wat zijn de belangrijkste wijzigingen die door de NIS2-wetgeving zijn ingevoerd ten opzichte van de oorspronkelijke NIS-richtlijn?

 Arnaud Martin: "De NIS2-richtlijn verbreedt de reikwijdte van haar voorganger. Het doel is om een hoog niveau van cyberbeveiliging in de hele EU te bereiken door maatregelen en verantwoordelijkheden te standaardiseren. Met dat doel voor ogen springen zes belangrijke wijzigingen in het oog:

1. De uitbreiding van de reikwijdte omvat een hele reeks sectoren die niet in de NIS-richtlijn waren opgenomen. Ook werden criteria op basis van grootte toegevoegd.
2. Zelfregistratie is een verplichting. Oorspronkelijk moesten de autoriteiten je aanduiden als NIS-deelnemer. Een proces dat niet elk land even goed opvolgde. Nu zijn bedrijven van een bepaalde grootte automatisch inbegrepen, wat de verantwoordelijkheid van registratie naar de bedrijven zelf verschuift. Vertragingen worden geëlimineerd en een meer omvattende dekking wordt verzekerd.
3. Standaard cyberbeveiligingsmaatregelen zijn nu verplicht in alle lidstaten, waardoor fragmentatie wordt verminderd. Als elk land zijn eigen richtlijnen heeft, werkt dat niet. Landen kunnen nog steeds aanvullingen doen op de standaardmaatregelen, maar er is tenminste een duidelijke basis voor iedereen.
4. Verantwoordelijkheden van het hogere management worden benadrukt, waarbij zij aansprakelijk worden gesteld voor inbreuken. Cyberbeveiliging is nu een verantwoordelijkheid op het hoogste niveau, niet alleen van de IT-afdeling.
5. Uitgebreide rapportageverplichtingen vereisen vroege meldingen en regelmatige updates over incidenten. Je moet de autoriteiten en eventueel getroffen partijen waarschuwen.
6. Nationale cyberbeveiligingsteams hebben meer bevoegdheden gekregen om inspanningen te ondersteunen en te coördineren.”

Welke sectoren werden opgenomen door de NIS2-richtlijn die buiten de oorspronkelijke NIS-richtlijn vielen?

Arnaud Martin: "NIS2 omvat een breed scala aan nieuwe sectoren maar ook subsectoren die nog niet waren inbegrepen. Zo was digitale infrastructuur al opgenomen in de originele NIS, maar nu omvat het ook datacenters. Content delivery-netwerken, elektronische communicatie, vertrouwensdienstaanbieders en ICT-servicemanagement zijn ook toegevoegd aan die categorie. De publieke administratiesector is nu inbegrepen, wat cruciaal is aangezien inbreuken grote groepen mensen treffen. Ziekenhuizen zijn nu gespecificeerd, naast de algemene gezondheidszorgsector. Daarnaast noemt bijlage II andere - iets minder - kritieke sectoren die nog steeds als belangrijk worden beschouwd, zoals post- en koeriersdiensten, afvalbeheer, chemie, voedselproductie en onderzoek."

Waarom was deze update van de NIS-richtlijn nodig?

Arnaud Martin: "De update was nodig om te voldoen aan de evoluerende vereisten en bestaande problemen met de oorspronkelijke NIS-richtlijn. De zes belangrijke wijzigingen die hierboven besproken zijn, zijn de gebieden die verbetering en duidelijkheid nodig hadden. Er waren inconsistenties in de scope en uiteenlopende cyberbeveiligingsmaatregelen tussen landen. Het nieuwe zelfregistratiemechanisme zorgt voor een omvattende dekking, en de uitgebreide scope dekt sectoren die eerder over het hoofd werden gezien. Deze wijzigingen hebben als doel een consistentere en robuustere cyberbeveiligingsstructuur in de hele EU te creëren."

Onderschatten bedrijven nog steeds het belang van cyberbeveiliging?

Arnaud Martin: Het hangt echt af van de sector. In industrieën zoals bankwezen, energie en telecom is cyberbeveiliging ingebed in hun operaties. Veel bedrijven, zelfs in de digitale sector, begrijpen echter nog steeds niet volledig het belang ervan. NIS2 helpt het speelveld te nivelleren, aangezien dezelfde regelgeving overal in Europa geldt. Het zal een nieuwe standaard zetten, net zoals dat gebeurde met kwaliteitsbeheer door de introductie van certificeringen zoals ISO9001, die nu algemeen bekend en veel gebruikt zijn."

Impact op Datacenters

Hoe zullen de nieuwe NIS2-vereisten de operationele procedures van datacenters beïnvloeden?

 Arnaud Martin: "Datacenters dragen meestal beveiliging, inclusief cyberbeveiliging, zeer hoog in het vaandel. Toch kan NIS2 verschillende operationele aspecten van datacenters beïnvloeden, aangezien het de integratie van cyberbeveiliging in alle kritieke bedrijfsprocessen vereist. Dit omvat het identificeren van die kritieke bedrijfsprocessen en gegevens en ervoor zorgen dat deze adequaat zijn beschermd, waardoor continuïteit wordt gegarandeerd. Meer specifiek: het definiëren en bijwerken van beleid, het handhaven van strikte toegangscontroles en up-to-date activabeheer, en het regelmatig herzien van procedures. Het is een uitgebreide organisatorische uitdaging die continue updates en duidelijke definities van rollen en verantwoordelijkheden vereist.

Sommige datacenters zullen dit al hebben gecoverd: een bedrijf dat ISO27001 gecertificeerd is, wordt verwacht al te voldoen aan de vereisten van NIS2, aangezien die zelfs iets verder gaat dan de vereisten van NIS2. Maar zelfs deze datacenters mogen niets aan het toeval overlaten. De EU werkt momenteel aan een uitvoeringsverordening, die maatregelen zal specificeren, en datacenters moeten hun procedures dienovereenkomstig herzien en aanpassen. Een ontwerp van deze uitvoeringsverordening wordt momenteel afgerond, waarin de verschillende maatregelen over 27 pagina’s worden gedetailleerd."

Welke specifieke maatregelen moeten datacenters nemen om te voldoen aan de NIS2-regelgeving?

Arnaud Martin: "managementverantwoordelijkheden zijn duidelijk gedefinieerd. Het senior management moet cyberbeveiligingsmaatregelen goedkeuren en een training ondergaan om risico's te begrijpen en te beheren. Datacenters moeten ook regelmatig cyberbeveiligingstrainingen aan al het personeel bieden, om bewustzijn en competentie te garanderen. Er moet rekening worden gehouden met worstcasescenario's, met een rampenherstelplan, adequate back-ups en crisismanagement."

Hoe kunnen datacenters hun risicobeheerprocessen aanpassen om te voldoen aan de NIS2-richtlijnen?

Arnaud Martin: "Datacenters moeten hun risicobeheerprocessen verfijnen door grondige analyses uit te voeren en bestaande procedures te evalueren. De uitvoeringsverordening biedt een gedetailleerde aanpak van 10 stappen, en naleving van certificeringen zoals ISO 27001 kan helpen om aan deze vereisten te voldoen. Regelmatige updates en audits zijn essentieel om voortdurende naleving en effectiviteit te waarborgen."

Wat zijn de implicaties van de nieuwe beveiligingsvereisten voor de supply chain voor datacenters?

Arnaud Martin: "NIS2 legt aanzienlijke nadruk op beveiliging van de supply, wat misschien wel de meest impactvolle verandering kan worden. De ontwerpuitvoeringsverordening omvat vier selectiecriteria en negen elementen die in contracten moeten worden gespecificeerd. Datacenters moeten hun leveranciers regelmatig evalueren en controleren, waarbij ze ervoor zorgen dat ze aan strikte cyberbeveiligingsnormen voldoen. In contracten moeten beveiligingsmaatregelen worden gespecificeerd, inclusief antecedentenonderzoeken en auditrapporten. Deze grondige aanpak kan een watervaleffect hebben naar derde en zelfs vierde partijen, wat een uitgebreide en voortdurende evaluatie vereist."

Wat zijn de nieuwe vereisten voor incidentrapportage onder NIS2 en hoe kunnen datacenters zich hierop voorbereiden?

Arnaud Martin: "NIS2 vereist vroege meldingen aan de relevante autoriteiten binnen 24 uur na detectie van een incident, gevolgd door een initiële beoordeling binnen 72 uur en een gedetailleerd rapport na een maand. Gezien hun kritieke aard moeten datacenters investeren in geavanceerde tools voor incidentdetectie en -respons en overwegen een Security Operations Center (SOC) op te zetten om incidenten effectief aan te pakken, als dat nog niet aanwezig is. Voorbereid zijn betekent gestructureerde procedures en getraind personeel hebben, klaar om 24/7 snel op incidenten te reageren."

Zijn er specifieke technologieën of acties die u aanbeveelt voor datacenters om voorbereid te zijn op de NIS2-vereisten?

Arnaud Martin: Datacenters moeten investeren in robuuste tools voor incidentdetectie en -respons, zoals Extended Detection and Response (XDR) en Network Detection and Response (NDR). Wat betreft het beheren van hun SOC, kunnen datacenters overwegen om incidentrespons gedeeltelijk uit te besteden voor een extra paar ogen. Maar niet volledig, omdat het opbouwen van eigen expertise ook voordelig kan zijn. Regelmatige evaluaties en updates van cyberbeveiligingsmaatregelen zijn cruciaal om te voldoen aan de NIS2-vereisten.

Conclusie

NIS2 vertegenwoordigt een belangrijke stap voorwaarts in het versterken van cyberbeveiliging in de Europese Unie. Voor datacenters brengt deze richtlijn zowel uitdagingen als kansen met zich mee. Door zich te houden aan de NIS2-vereisten en een proactieve beveiligingscultuur te bevorderen, kunnen datacenters hun veerkracht tegen cyberdreigingen vergroten en bijdragen aan een veiliger digitaal ecosysteem.

Houd er rekening mee dat dit artikel geen vervanging is voor diepgaande training over dit onderwerp. Voor verdere begeleiding kunnen datacenters cyberbeveiligingsexperts raadplegen of verwijzen naar de officiële documentatie die door de Europese Commissie wordt verstrekt.