18 april 2024: nieuw NIS2-event met nadruk op ketenverantwoordelijkheid en OT-security
Op dinsdag 31 oktober organiseerde Claranet in het kader van de Cyber Security-maand oktober het event “NIS2 – nog één jaar te gaan”. Al tijdens dat event was er de aankondiging van de opvolger van dit event, en wel op donderdag 18 april aanstaande; “NIS2 – nog een half jaar te gaan”. Inmiddels is er meer bekend over de NIS2-onderwerpen die de revue gaan passeren; ketenverantwoordelijkheid en OT-security. We spreken er over met Henk Liebeek, Product Manager bij Claranet én gastheer van het event; “We moeten nu doorpakken om ervoor te zorgen dat de weerbaarheid van de gehele sector naar een hoger niveau gaat.”
Henk, allereerst; hoe is het vorige event jou bevallen?
"Ons event van oktober vorig jaar was absoluut een succes; zo’n 100 ondernemers bij elkaar om echt inhoudelijk de naderende omzetting van de NIS2-richtlijn naar een wetgeving door te nemen, had heel veel meerwaarde. Zowel de aanwezige ondernemers als voor onszelf. Zij zijn helemaal bijgepraat over de NIS2-richtlijn en wij hebben waardevolle gesprekken gevoerd om inzicht te krijgen in de behoeftes van de organisaties die onder de nieuwe richtlijn gaan vallen. Wij kunnen vooraf maar voor een deel inschatten en voorspellen wat deze organisaties bezig houdt, maar daadwerkelijk met ze in gesprek gaan, zorgt voor een bevestiging van ons beeld en geeft ook nieuwe inzichten."
Aan welke nieuwe inzichten moeten we dan denken?
"Het zijn er een aantal en die kunnen we helaas niet allemaal meenemen in ons vervolgevent. Zo is het opvallend dat veel bestuurders en managers geen volledig beeld hebben van hun eigen verantwoordelijkheid. In de nieuwe richtlijn is het niet meer voldoende voor een organisatie om Cyber Security te beleggen binnen de organisatie en daar bijvoorbeeld een Security Officer verantwoordelijk voor te maken. Er is namelijk een persoonlijke verantwoordelijkheid die ligt binnen de managementlaag van de organisatie. Zij zijn verplicht om een basiskennis over Cyber Security te hebben, daarop beleid te maken en te zorgen voor de uitvoering. Gevolg daarvan is dat zij ook persoonlijk aansprakelijk zijn als het mis gaat bij een incident waarbij gevolgen beperkt hadden kunnen worden door een beter security-strategie en/of beleid te implementeren. Dit is een onderwerp dat we wel aanstippen tijdens het event op 18 april, maar niet diep in zullen duiken. Wij geloven niet in bangmakerij, maar in concrete handvatten en oplossingen. Dat werkt veel beter."
Wat zullen we wel zien tijdens het event?
"Onze nadruk zal komen liggen op twee onderwerpen die enorm spelen in en rondom de (maak)industrie; ketenverantwoordelijkheid en OT-security. Aangezien we in Eindhoven in het hart van de maakindustrie zitten, hebben we hierin de samenwerking gezocht met Cyberweerbaarheidscentrum Brainport (CWB). We hebben de afgelopen jaren in het voorjaar al vaker een gezamenlijk event georganiseerd en dit event valt qua onderwerp zeker goed bij de participanten van het CWB. Dit zijn met name organisaties vanuit de hightech- en maakindustrie waarbij we door samen te werken en kennis te delen de algemene cyberweerbaarheid proberen te vergroten. Ketenverantwoordelijkheid en OT-security zijn wat dat betreft ‘spot-on’ voor deze organisaties."
Welk probleem zie je bij ‘ketenverantwoordelijkheid’?
"In de nieuwe NIS2-richtlijn staat een beperkte groep sectoren benoemd waarvoor de nieuwe richtlijn geldig is. Hierdoor is er een algemene gedachte dat alleen de benoemde sectoren, en dan ook nog eens met een bepaalde omvang, te maken krijgen met de nieuwe wetgeving die in oktober 2024 van kracht wordt. Dat is helaas een foute insteek. Wat onderbelicht blijft, is dat er in de richtlijn wordt verwezen naar ketenverantwoordelijkheid. Daarmee vallen toeleveranciers en partners van een organisatie die onder de NIS2-richtlijn valt, automatisch ook onder deze richtlijn. Dat kan enorme gevolgen hebben als je dat niet op tijd in de gaten hebt. Ik kan dit eenvoudig schetsen met een voorbeeld. Stel dat je in de maakindustrie zit, je hebt een omzet van 100 miljoen euro per jaar en je maakt medische apparatuur voor in het ziekenhuis. Dan kan het zomaar zijn dat je niet alles zelf maakt, maar een deel van de apparatuur als halffabricaat binnen krijgt. Je bent namelijk zelf goed in de core-toepassing van jouw product, maar hebt geen verstand van WIFI-antennes die in jouw apparatuur zitten. Dan moet je ervoor zorgen dat de producent van die WIFI-antennes ook veilige apparatuur levert volgens de NIS2-richtlijn, ongeacht de grootte van die leverancier. Dat is een logisch gevolg en dat zal niemand ontkennen. Dit is een simpel voorbeeld, maar dit geldt integraal voor de gehele keten, van WIFI-antennes tot en met de afgenomen zwenkwielen voor jouw apparatuur. Uiteindelijk is dat een flinke uitbreiding van de organisaties die onder de NIS2-vallen."
Wat is OT-security precies?
"OT staat voor Operational Technology. Dat is te zien als IT voor het aansturen van machines en dergelijke, met name binnen industriële omgevingen. Hieronder vallen bijvoorbeeld ook windmolens van de energiemaatschappijen en pompen en gemalen vanuit waterschappen. Je wilt niet dat deze laatste categorie in handen valt van de cybercriminelen met het gevaar dat het halve land onder water komt te staan. IT heeft al die jaren in de spotlight gestaan qua beveiliging omdat er een directe link met het internet aanwezig was. Voor OT is er altijd gebruik gemaakt van eigen besloten netwerken, maar je ziet dat er nu connecties met het internet gemaakt worden voor bijvoorbeeld software-updates of (IoT-)meldingen. Dat is dan ook direct een ingang voor de cybercriminelen om het netwerk binnen te dringen. De (maak)industrie is een van de branches die specifiek wel genoemd wordt in de NIS2-richtlijn, daarom is het van belang dat OT-security wordt meegenomen in de cyberweerbaarheid. Veel organisaties zijn er mee bezig maar we moeten nu doorpakken om ervoor te zorgen dat de weerbaarheid van de gehele sector naar een hoger niveau gaat."
Wat kunnen we verwachten van de sprekers?
"We zijn nog vroeg met deze aankondiging, dus zijn nog bezig met de agenda’s van de beoogde sprekers. We zoeken samen met het CWB naar een mooi en evenwichtig programma waarbij we de basisinformatie over de introductie van NIS2 combineren met branche-specifieke informatie rondom de sub-onderwerpen Ketenverantwoordelijkheid en OT-security. Wees gerust dat we niet de (technische of juridische) diepte in gaan; het is een event waar we praktische informatie en hands-on stappen over NIS2 zullen delen waarmee je direct aan de slag kan. Ik verwacht dat we de komende weken de sprekers kunnen aankondigen."
Aanmelden voor dit event is reeds mogelijk; ga hiervoor naar onze eventpagina
NIS2 - Nog een half jaar te gaan
Claranet Cyber Security Event – NIS2 - Nog een half jaar te gaan
Datum: donderdag 18 april – 13:00 – 17:00 uur
Locatie: omgeving Eindhoven (wordt binnenkort bekend gemaakt)