Geschreven door: Dr. Martin J. Krämer - Security Awareness Advocate KnowBe4
Vitale infrastructuur wordt een onderwerp wanneer een hacktivistisch collectief dreigt met cyberaanvallen. Recentelijk zijn dergelijke aankondigingen vaker gedaan door groepen als Killnet. Vitale infrastructuur omvat de stroomvoorziening, het transport van goederen en grondstoffen, de watervoorziening voor de bevolking, maar ook de afvalverwerking. Als reactie op de toenemende bedreiging voor deze vitale infrastructuur-branches werd op Europees niveau een richtlijn gelanceerd in de vorm van NIS-2, die nu door nationale wetgevers moet worden omgezet in nationale wetgeving voor 17 oktober 2024. De richtlijn zou dan vanaf 18 oktober 2024 van toepassing zijn. Voor Nederland wordt verwacht dat de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de bijbehorende verordeningen dienovereenkomstig zullen worden herzien.
Volgens de NIS-2 zijn de branches die als essentieel zijn aangemerkt onder andere energie, vervoer, banken, infrastructuur voor de financiële markt en digitale infrastructuur. Ook het openbaar bestuur wordt hier expliciet genoemd. De categorie kritieke sectoren omvat bijvoorbeeld post- en koeriersdiensten, digitale dienstverleners, maar ook fabrikanten van medische apparatuur, machinebouw en de productie van voertuigen. Het toepassingsgebied van NIS-2 zal dus veranderingen met zich meebrengen ten opzichte van inschaling van organisaties in de bestaande Wbni.
Samenwerking
Nauwe samenwerking tussen de overheid en de private sector is noodzakelijk om vitale infrastructuur te beveiligen. Dit blijkt ook uit de gezamenlijke aanpak op dit gebied door partijen vanuit de rijksoverheid zoals Nationaal Cyber Security Centrum (NCSC) en Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), clusterverenigingen zoals Cyberveilig Nederland (CVN), Cyberweerbaarheidcentrum Brainport en divers betrokken brancheverengingen. En dat met een gezamenlijk doel; het verhogen cyberweerbaarheid en van de veerkracht van vitale infrastructuren.
Bedrijven met meer dan 50 medewerkers of een omzet van meer dan €10 miljoen vallen onder de NIS2-richtlijn en moeten nu ook de Cyber Security van hun toeleveringsketens garanderen. Daartoe versterkt de richtlijn de samenwerking in de EU tussen autoriteiten en exploitanten, terwijl ook de jurisdictie wordt aangescherpt. Organisaties krijgen te maken met hogere boetes en handhavingsmaatregelen, die kunnen oplopen tot 10 miljoen euro, afhankelijk van de branche. Met een totaal van 18 branches, noemt de richtlijn ook post- en koeriersdiensten en onderzoek & ontwikkeling als kritieke gebieden.
Security Awareness Trainingen
Het senior management wordt gedwongen hun verantwoordelijkheid nemen voor de volwassenheid van Cyber Security en dienen de risicobeoordeling en -behandeling in goede handen te leggen. Dit is nodig om hun organisatie voor te bereiden op de nieuwe compliance-eisen en te beschermen tegen de toenemende cyberaanvallen. Een belangrijke maatregel is het organiseren van regelmatig terugkerende Security Awareness Trainingen. Het management moet hierbij het goede voorbeeld geven en ook deelnemen aan dergelijke trainingen. De NIS-richtlijn suggereert immers precies zo’n training voor alle medewerkers om weerbaarder te worden en de zo belangrijke werking van de betreffende vitale infrastructuur in stand te houden.
Voor deze training gelden bepaalde vereisten en uitdagingen. Niet alle medewerkers hebben toegang tot een computer of werkstation. Dit maakt het nog belangrijker om de training specifiek voor deze doelgroep te ontwerpen en beschikbaar te maken via mobiele apparaten. Training en opleiding moeten worden ontworpen voor mensen met verschillende vaardigheden, verantwoordelijkheden en talenten. De inhoud voor technische functies verschilt van die voor mensen in het opetationele management en het bedrijfsmanagement.
Een goed trainingsprogramma is niet alleen gericht op het trainen van individuen, maar draagt ook bij aan de verdere ontwikkeling van de hele organisatie. Het is belangrijk om de security cultuur van de organisatie op een gerichte manier te bevorderen en een bepaald niveau van Cyber Security kennis voor alle deelnemers te garanderen. Dit vereist continue en doorlopende training die voldoet aan de leerbehoeften van individuen.
Conclusie
Training op gebied van Security Awareness is noodzakelijk, vooral voor de bescherming van de toeleveringsketen, en moet in de hele waardeketen worden gegeven. Medewerkers zijn daarom niet alleen de eerste, maar ook de belangrijkste verdedigingslinie voor organisaties met vitale infrastructuur, mits ze hierop zijn voorbereid. Daarna kan de verdere discussie over de implementatie van NIS-2 in nationale wetgeving met de nodige aandacht en rust volgen.
Claranet Security Magazine
Dit artikel is eerder verschenen in het Claranet Security Magazine Najaar 2023. Interesse in het magazine? Vraag hem dan hier aan.