Hoe een goed IAM-proces helpt om aan NIS2 te voldoen

Home
Nieuws
Hoe een goed IAM-proces helpt om aan NIS2 te voldoen

De NIS2-richtlijn – in Nederland de Cyberbeveiligingswet geheten – confronteert organisaties in (zeer) kritieke sectoren met strengere eisen op het gebied van cybersecurity. In dit artikel lees je wat de NIS2 precies is, welke organisaties hieraan moeten voldoen, welke verplichtingen hierbij komen kijken en wat de sancties zijn als je niet voldoet aan de nieuwe Nederlandse wetgeving die volgt uit de NIS2. Verder zoomen we in op de rol van Identity & Access Management binnen NIS2 en vertellen we hoe het Jeroen Bosch Ziekenhuis zich hierop voorbereid met behulp van Oribi SmartID. Tot slot schetsen we de tijdlijn van NIS2. Bereid je nu voor, want de risico’s waartegen de nieuwe richtlijn je beschermt zijn er nu ook al en de benodigde maatregelen kosten vaak veel tijd.

Wat is de NIS2?

De Network and Information Security Directive (NIS2) is een Europese richtlijn die de digitale weerbaarheid van Europese lidstaten moet versterken en de gevolgen van cyberincidenten moet beperken. Het gaat om een uitbreiding van de oorspronkelijke NIS-richtlijn uit 2016. De NIS2 legt de beveiligingslat hoger door onder meer te vragen om proactieve maatregelen ter bescherming van netwerken, informatie, en systemen. Zo wordt Europa klaargemaakt voor het digitale tijdperk. De NIS2 is eind 2022 vastgesteld door de Europese Unie en wordt op dit moment omgezet naar de Nederlandse Cyberbeveiligingswet (Cbw).

Voor wie geldt de NIS2?

Ten opzichte van bestaande wetgeving moeten straks meer sectoren en organisaties voldoen aan de nieuwe wetgeving dan nu het geval is. Het gaat om twee categorieën: ‘zeer kritieke sectoren’ en ‘andere kritieke sectoren’. Onder zeer kritieke sectoren vallen: energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten (b2b), overheid en ruimtevaart. Onder andere kritieke sectoren wordt verstaan: post- en koeriersdiensten, afvalstoffenbeheer, vervaardiging, productie en distributie van chemische stoffen, productie, verwerking en distributie van levensmiddelen, digitale aanbieders en onderzoek.

“Het gaat met name om kritieke organisaties en sectoren waarbij uitval van hun diensten kunnen zorgen voor maatschappelijke en economische ontwrichting”, licht Bob Buysrogge, Salesdirector van Oribi SmartID, toe. Daarnaast gaat het zowel om ‘essentiële entiteiten’ en ‘belangrijke entiteiten’.

Een entiteit wordt als essentieel beschouwd wanneer deze:

Actief is in een zeer kritieke sector (zie hierboven);
Een grote organisatie is van 250 personen of meer, of een jaaromzet heeft van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro heeft.

Een entiteit wordt als belangrijk beschouwd wanneer deze:

Actief is in een zeer kritieke sector (zie hierboven) en een middelgrote organisatie is van minder dan 250 personen met een jaaromzet van niet meer dan 50 miljoen euro of een jaarlijks balanstotaal van maximaal 43 miljoen euro*;
Óf actief is in een kritieke sector (zie hierboven) en een grote of middelgrote organisatie is op basis van bovengenoemde criteria.

*) Uitzondering: Als er bij de onderneming minder dan 50 personen werkzaam zijn en als deze daarnaast een jaaromzet of jaarbalans heeft die lager is dan 10 miljoen euro, wordt deze niet gezien als middelgrote onderneming.

Meer informatie over welke sectoren en soorten organisaties het precies zijn en wat de uitzonderingen zijn, lees je hier.

De verplichtingen n.a.v. de NIS2

De impact van de invoering van NIS2 voor Nederlandse organisaties is groot. Er wordt niet alleen van meer organisaties wat verwacht, er wordt ook meer van de betrokken sectoren en organisaties gevraagd. Zo komt er een zorgplicht voor de digitale weerbaarheid. Concreet betekent dit dat er beveiligingsmaatregelen moeten worden genomen. Daarnaast komt er een meldplicht van incidenten en een registratieplicht. Daarnaast worden mechanieken om toezicht te houden ingericht.

Registratieplicht

De essentiële en belangrijke entiteiten hebben een wettelijke verplichting om gegevens aan te leveren voor een zogenoemd entiteitenregister. Entiteiten moeten bij de bevoegde autoriteit onder meer KvK-gegevens en IP-adressen registreren.

Zie voor meer informatie de Infosheet over de Registratieplicht van het Nationaal Cybersecurity Centrum (NCSC): Infosheet NIS2 verplichtingen: Registratieplicht | Publicatie | Nationaal Cyber Security Centrum (ncsc.nl)

“Als het goed is, is registreren binnenkort al mogelijk via mijn MijnNSC”, licht Melanie van Leeuwen, Compiance Consultant van ICT Recht toe.

Meldplicht

Bij vermoeden van een significant incident dienen identiteiten die aan de NIS2 moeten voldoen binnen 24 uur een melding te doen bij het betreffende Computer Security Incident Response Teams (CSIRT) én een bevoegde autoriteit. Daarnaast moet binnen 72 uur een rapportage met daarin de initiële beoordeling van het incident, de ernst en gevolgen ervan, en – indien mogelijk – de signalen van aantasting worden ingediend. Uiterlijk 1 maand na de beëindiging van het incident dient te zijn overhandigd: een eindverslag met onder meer een grondige beschrijving van de oorzaak, de toegepaste en lopende risicobeperkende maatregelen en de gevolgen van het incident. “Wanneer het incident na een maand nog niet opgelost is, moet er wel tussentijdsverslag gedaan worden wanneer de autoriteiten hierom vragen”, licht Van Leeuwen toe.

Zij vertelt verder dat bij de Cyberbeveiligingswet wordt gekeken of er een portaal ingericht kan worden waarin de melder maar één melding hoeft te doen. “De melding gaat dan op de achtergrond naar zowel het CSIRT als de bevoegde autoriteit gaat. Meer let op: dit vervangt niet het melden van een datalek bij de Autoriteit Persoonsgegevens (AP). “Wanneer een incident ook persoonsgegevens bevat, kan het zijn dat er ook een melding gedaan moet worden bij de AP”, aldus Van Leeuwen.

De drempelwaardes voor een significant incident moeten overigens nog uitgewerkt worden in een Algemene Maatregel van Bestuur.

Zorgplicht

Organisaties die onder de NIS2-richtlijn komen te vallen krijgen te maken met een zorgplicht. Dit betekent dat zij maatregelen moeten nemen om hun netwerk- en informatiesystemen tegen incidenten te beschermen. Hetzelfde geldt voor de fysieke omgeving waarin de systemen zich bevinden. Er dienen diverse maatregelen te worden genomen voor het beheer van cyberbeveiligingsrisico’s, zoals:

Risicoanalyses
Incidentenbehandeling
Bedrijfscontinuïteit
Beveiliging van de toeleveringsketen
Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen
Beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen
Basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging
Beleid over het gebruik van cryptografie en encryptie
Beveiligingsaspecten voor personeel, toegangsbeleid en beheer van activa
Indien van toepassing: gebruik van Multi Factor Authenticatie (MFA) of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de organisatie.

De infosheet van het Nationaal Cyber Security Center (NCSC) gaat in op deze zorgplicht en bevat een stappenplan waarmee organisaties aan de slag kunnen met hun cyberveiligheid: Infosheet over de Registratieplicht te lezen.

Tot slot hoort ook een goede governance bij de verplichtingen voor organisaties die moeten voldoen aan de Europese richtlijn. NIS2 stelt dat de implementatie van beveiliging niet langer de verantwoordelijkheid is van de CISO, maar van het hele topmanagement. Sterker nog, de raad van bestuur moet ook toezien op de naleving van maatregelen voor risicobeheer op het gebied van cyberbeveiliging. Bestuurders moeten daarom aandacht besteden aan hun kennisniveau op het gebied van cyberveiligheid en de benodigde trainingen volgen.

Sancties
De sancties voor organisaties die bovengenoemde verplichtingen niet nakomen liegen er niet om. Voor essentiële entiteiten dreigt een mogelijke boete van maximaal 10 miljoen euro of 2% van de jaaromzet. Voor belangrijke entiteiten geldt een mogelijke boete van maximaal 7 miljoen euro of 1,4% van de jaaromzet.

Tijdlijn
De Europese richtlijn is op 16 januari 2023 in werking getreden voor de lidstaten. Sindsdien loopt er een implementatietermijn, die Nederland en de andere lidstaten 21 maanden de tijd geeft, om de richtlijn om te zetten naar nationale wetgeving. Dat betekent dat de nationale NIS2-implementatiewet, de Cyberbeveiligingswet, eigenlijk op 17 oktober 2024 in werking had moeten treden. Het implementeren van NIS2-richtlijn kost echter meer tijd dan verwacht, waardoor de deadline niet wordt gehaald. De Cyberbeveiligingswet zal naar verwachting pas eind 2025/begin 2026 in werking treden.

IAM – het onzichtbare fundament van NIS2

Identiteitsbeheer en toegangscontrole zijn essentiële onderdelen van informatiebeveiliging. Toch wordt Identity & Access Management (IAM) of Identity Governance and Administration (IGA), zoals dit aspect van cybersecurity ook wel wordt genoemd, niet specifiek genoemd in de NIS2. Dat geldt ook voor Access Governance, Identity Management, joiner-mover-leaver-processen of Role Based Access Control (RBAC). Buysrogge vindt dit op zijn zachtst gezegd opmerkelijk: “Een belangrijk middel om te voldoen aan de eisen van NIS2 is een goed ingericht IAM-proces. Je zou zelfs kunnen stellen dat Identity en Access Management het onzichtbare fundament van NIS2 is. Organisaties kunnen namelijk niet aan NIS2 voldoen als zij de toegang niet beheersen.”

Traditioneel gezien is IAM een IT-feestje dat de business in staat stelt toegangsmanagement te automatiseren. Met NIS2 verandert dit volgens Buysrogge. Zo wijzigt de manier waarop NIS2 de beveiliging benadert, met name door het proces van de hele toeleveringsketen aan te pakken. “Beveiligingscontroles beperken zich niet langer tot de organisatie zelf. Organisaties, en met name de organisatie die direct onder NIS2 vallen, zijn niet langer een autonome entiteit. In plaats daarvan vult het een deel in van de hele keten van gebeurtenissen en diensten.”

Hetzelfde geldt voor het begrip cloud. Niet langer is de cloud slechts een onderdeel van netwerk- en computermiddelen, maar een geïntegreerd concept op het gebied van bedrijfsvoering. “De cloud wordt niet langer ‘extern’ behandeld, maar is onderdeel van de business geworden”, aldus Buysrogge. Dit betekent dat organisaties straks in control moeten zijn over meer identiteiten dan alleen die van henzelf. Ze moeten omgaan met grote aantallen identiteiten en de complexiteit van het beheer van toegang in de toeleveringsketen aanpakken. Controle is niet langer beperkt tot een Active Directory. Governance is niet alleen ‘wat je ziet, is wat je krijgt’. Het is ook ‘wat je wilt toestaan, is wat je moet beheren’.

De implementatie van gangbare toegangscontroleconcepten zoals rolgebaseerde toegangscontrole (RBAC) moet waarschijnlijk bij veel organisaties worden aangepast om te voldoen aan securityregels van NIS2. Daarnaast zijn nieuwe manieren van verslaglegging en controle vereist. Bovendien moeten toezichthouders onder ogen zien dat relatief eenvoudige traditionele veiligheidscontroles zoals het wachtwoordbeleid en hercertificering van gebruikersaccounts niet langer doeltreffend is.

De impact van NIS2 op IAM
De impact van de NIS2, die straks in Nederland dus de Cyberbeveiligingswet gaat heten, is voor organisaties in (zeer) kritieke sectoren groot. Dit zijn de belangrijkste gevolgen van NIS2 voor Identity and Access Management (IAM):

Verhoogde Verantwoordelijkheid
Organisaties moeten ervoor zorgen dat hun IAM-systemen voldoen aan de strengere beveiligingseisen van NIS2. Dit betekent dat er meer nadruk komt te liggen op het beheren van toegangsrechten en het waarborgen van de identiteit van gebruikers.
Risicobeheer
NIS2 vereist een robuuste aanpak voor risicobeheer, wat inhoudt dat IAM-systemen moeten kunnen identificeren en reageren op potentiële bedreigingen. Dit omvat het regelmatig bijwerken van toegangsrechten en het monitoren van verdachte activiteiten.
Compliance en Audits
Organisaties moeten kunnen aantonen dat hun IAM-processen voldoen aan de NIS2-vereisten. Dit kan leiden tot meer frequente audits en controles om naleving te waarborgen.
Zorgplicht
Bedrijven hebben zoals eerder vermeld een zorgplicht om hun systemen en gegevens te beschermen. IAM speelt een cruciale rol in het naleven van deze zorgplicht door ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot gevoelige informatie.
Samenwerking en Informatie-uitwisseling
NIS2 moedigt samenwerking en informatie-uitwisseling aan tussen verschillende entiteiten. IAM-systemen moeten flexibel genoeg zijn om deze samenwerking te ondersteunen zonder de beveiliging in gevaar te brengen.

De impact van NIS2 op beheer en organisatie

Ook de impact op het beheer en de organisatie is aanzienlijk voor organisaties die onder de NIS2 vallen. In de Cyberbeveiligingswet worden bestuursleden straks bijvoorbeeld persoonlijk verantwoordelijk gehouden voor de naleving van de NIS2-richtlijn. Dit betekent dat zij actief betrokken moeten zijn bij het beheer van cyberbeveiligingsrisico’s. “Overigens liet de NIS2 ruimte voor persoonlijke aansprakelijkheid, maar in de Cyberbeveiligingswet wordt gesproken dat voor aansprakelijkheid van de bestuurder op de huidige wetgeving wordt aangesloten”, nuanceert Van Leeuwen.

Het bestuur is volgens de Cyberbevelingswet verplicht om een training te volgen, terwijl de NIS2 zegt dat er aangemoedigd wordt dat het personeel soortgelijke trainingen volgt. Dit helpt om menselijke fouten te minimaliseren en de algehele beveiligingshouding van de organisatie te verbeteren. Van Leeuwen: “Om aan bepaalde eisen te voldoen met betrekking tot bewustwording zijn er wel verplichtingen maar dit kan op verschillende manieren. Dit hoeft niet per se een training te zijn, al is dat vaak wel een gangbare manier.”

Daarnaast moeten organisaties robuuste beveiligingsmaatregelen implementeren met behulp van geavanceerde IAM-systemen, zoals bijvoorbeeld dat van SmartID, om te voldoen aan de nieuwe eisen. Dit omvat onder andere multi-factor authenticatie (MFA) en continue monitoring van toegangsrechten. Ook moeten er duidelijke procedures zijn voor het melden van beveiligingsincidenten. Dit vereist een goed gecoördineerd incidentresponsplan en een systeem voor het bijhouden en rapporteren van incidenten.

Verder moeten organisaties ervoor zorgen dat hun leveranciers en partners ook voldoen aan de NIS2-vereisten. Dit kan betekenen dat er strengere contractuele verplichtingen en audits nodig zijn om naleving te garanderen. Tot slot zullen waarschijnlijk extra investeringen nodig zijn in zowel technologie als securitykennis om aan de nieuwe eisen te voldoen. Dit kan variëren van het upgraden van bestaande systemen tot het inhuren van gespecialiseerde cyberbeveiligingsexperts.

Wat kan je nu al doen?

De Rijksoverheid adviseert organisaties om niet af te wachten totdat exact duidelijk is hoe de Cyberbeveiligingswet eruit komt te zien of wordt ingevoerd. De risico’s die organisaties en systemen lopen, zijn er immers nu ook al. Organisaties die nu al in actie komen, beveiligen zich niet alleen tegen deze bestaande risico’s, ma ar zijn straks ook beter voorbereid op de komst van de nieuwe wetgeving. Het is bovendien van belang vroegtijdig te beginnen met de voorbereidingen, omdat het tijd kost om deze maatregelen te implementeren. De overheid heeft hier informatie beschikbaar gesteld over de wijze waarop organisaties maatregelen kunt nemen.

Van Leeuwen: “Het duurt nog even voordat de Cyberbeveiligingswet van kracht wordt, maar dat betekent niet dat organisaties moeten wachten met het nemen van maatregelen. Daarnaast geeft de Cyberbeveiligingswet aan dat er nog specifieke regels door middel van Algemene Maatregelen van Bestuur of ministeriële regelingen verder uitgewerkt moeten worden. Als uitgangspunt kunnen organisaties bijvoorbeeld informatiebeveiligingsstandaarden nemen zoals de ISO27001, NEN7510 of de BIO. Hiermee voldoe je nog niet aan alle vereisten van de NIS2 of de Cyberbeveiligingswet, maar het zorgt er wel voor dat je al goed op weg bent en dat er alleen aanvullingen gedaan moeten worden wanneer de specifieke regels bekend zijn.”

Ook Buysrogge heeft een aantal tips voor organisatie die nu al aan de slag willen: “Gebruik RBAC om ervoor te zorgen dat gebruikers alleen toegang hebben tot de informatie die ze nodig hebben voor hun functie en integreer IAM-systemen met monitoringtools om verdachte activiteiten te detecteren en snel te reageren op incidenten. Zorg voor een duidelijk incidentresponsplan. Voer regelmatig audits en evaluaties uit om de effectiviteit van de IAM- en NIS2-maatregelen te beoordelen en verbeteringen door te voeren waar nodig. En last but not least: maak gebruik van geavanceerde technologieën om bedreigingen proactief te identificeren en te mitigeren. Hierdoor voldoe je niet alleen aan de NIS2-richtlijn, maar versterk je als organisatie ook je algehele cyberbeveiliging.”

Met een oplossing zoals SmartID kan automatisch worden gemonitord wie toegang heeft tot welke gegevens, en kunnen incidenten direct worden gerapporteerd, wat helpt bij het voldoen aan de rapportagevereisten van NIS2. Met de module Attestatie kan je tot slot alle autorisaties inzichtelijk maken, controleren, en krijg je direct inzicht in mogelijke bedreigingen, risico’s en fouten op het gebied van toegangsbeheer.

De case: Jeroen Bosch Ziekenhuis

Met SmartID breng je je volledige IAM-proces 100% op orde, ook volgens de strengere eisen van NIS2. Daar kan het Jeroen Bosch Ziekenhuis (JBZ) over meepraten. Het ziekenhuis heeft naast de hoofdlocatie in ’s-Hertogenbosch, ook JBZ Dichtbij locaties in Boxtel, Drunen, Rosmalen en Zaltbommel. Er werken zo’n 7000 professionals (5000 ‘eigen’ medewerkers en 2000 externe krachten). Het ziekenhuis is al 15 jaar klant bij Oribi SmartID. In eerste instantie werden via het systeem alleen accounts aangemaakt en weer dichtgezet voor Windows. Later werd ook het zorginformatiesysteem (EPD) aangesloten op SmartID.

“In die tijd zijn de eerste rollen aangemaakt”, vertelt Silvia de Laat, functioneel beheerder bij JBZ. Zij ging langs bij alle Unithoofden om in kaart te brengen welke verschillende rollen er per unit zijn en om leidinggevenden ervan te doordringen dat een veilig IAM-proces een must is voor het ziekenhuis en hen te attenderen op hun sleutelfunctie hierbij. Het mandaat dat zij kreeg van de directie was hierbij essentieel. Daarnaast haalde zij de banden aan met de HR-afdeling. “Voorheen was het vooral ‘zij van IT’ en ‘zij van HR’, terwijl we elkaar nodig hebben. Ik heb een brug geslagen tussen die twee werelden en inmiddels is er veel meer begrip voor elkaar en werken we veel prettiger samen.”

Inmiddels zijn er acht systemen rechtstreeks aangesloten op SmartID. Het bronsysteem is het HRM-systeem. Daarnaast zijn het zorginformatiesysteem/Elektronisch Patiënten Dossier, Office, planningssysteem, assetmanagementsysteem, het toegangsbeveiligingssysteem voor fysieke toegang tot het ziekenhuis en het systeem voor kleding-inname- en kledinguitgifte ook op SmartAIM aangesloten. Ook is er een aantal koppelingen gemaakt met relatief kleine systemen. De Laat: “We zijn nu bezig met de koppeling naar ons documentmanagementsysteem. En op mijn wensenlijstje staat ook nog het koppelen van de inname en uitgifte van apparatuur, zoals smartphones en tablets, aan bepaalde rollen. Dat gebeurt nu nog per geval en vereist veel handwerk. We zouden onze unithoofden hier heel erg mee ontzorgen als dit automatisch gebeurt na aan- en afmelding in ons HRM-systeem.”

De Laat benadrukt dat het JBZ op IAM-gebied nu al voldoet aan de strengere eisen die NIS2 straks met zich meebrengt. “Sinds enkele jaren moeten ziekenhuizen voldoen aan de NEN7510 en het JBZ deed dit in de jaren hiervoor ook al, mede dankzij SmartID. In onze sector werken we met data die extreem privacygevoelig is. Dan moet je informatiebeveiliging de crème-de-la-crème zijn. De NIS2 is qua strengheid vergelijkbaar met de NEN7510. Maar voor veel organisaties uit andere sectoren brengt de komst van de NIS2 waarschijnlijk veel extra werk met zich mee als het gaat om Identity en Access Management. Met SmartID voldoe je in één klap aan alle IAM-eisen.”

Meer weten?
Met Oribi SmartID ben je aantoonbaar in controle over jouw IAM-processen. Oribi SmartID is een product van Oribi, die een breed scala aan oplossingen op het gebied van identificatie, verificatie en autorisatie levert voor IAM-toepassingen.

Heb je specifieke vragen over hoe jouw organisatie zich kan voorbereiden op NIS2? Neem contact met ons op.