Richtlijn netwerk- en informatiebeveiliging
Richtlijn netwerk- en informatiebeveiliging

Richtlijn netwerk- en informatiebeveiliging

Inleiding richtlijn netwerk- en informatiebeveiliging

Op dit moment is er veel aandacht voor de Algemene Verordening Gegevensbescherming. Echter in mei 2018 wordt er nog een richtlijn voor netwerk- en informatiebeveiliging van kracht. Dit artikel poogt een beeld te geven wat deze richtlijn gaat betekenen voor Nederlandse organisaties.

De richtlijn is in Europees verband opgesteld en gericht op organisaties die deel uitmaken van de vitale infrastructuur en organisaties die een digitale dienst aanbieden. Deze richtlijn met EU code 2016/1148/ dient door de afzonderlijke Europese lidstaten uiterlijk op 9 mei 2018 omgezet te zijn in wet- en regelgeving.

In de praktijk betekent het dat de Nederlandse overheid een mogelijkheid krijgt om te kunnen beoordelen of netwerk- en informatiebeveiliging binnen bepaalde sectoren / organisaties op orde is en zo niet, de mogelijkheid heeft om maatregelen te eisen.

Toepassingsgebied

Het toepassingsgebied voor de richtlijn netwerk- en informatiebeveiliging wordt als volgt omschreven:

Diensten van essentieel belang voor de instandhouding van kritieke maatschappelijke of economische activiteiten, waar de dienst afhankelijk is van netwerk- en informatiesystemen.

In bijlage 2 en 3 van de richtlijn wordt concreet gemaakt op welke organisaties het van toepassing is. Bijlage 2 beschrijft de essentiële diensten en bijlage 3 gaat in op de digitale dienstverleners.

Bijlage 2 somt onderstaande sectoren op, feitelijk de vitale infrastructuur van Nederland:

  1. Energie (elektriciteit, aardolie, gas).
  2. Vervoer (luchtvaart, vervoer over weg, spoort en water)
  3. Bankwezen.
  4. Infrastructuur voor de financiële sector.
  5. Gezondheidszorg.
  6. Levering en distributie van drinkwater.
  7. Digitale infrastructuur (zoals internetknooppunten, DNS dienstverleners, Registrars voor topleveldomeinen).

Daarnaast dienen aanbieders van digitale diensten te voldoen. In bijlage 3 wordt beschreven welke diensten hier onder gaan vallen, dit zijn:

  1. Cloud providers.
  2. Online zoekmachines.
  3. Online marktplaatsen.

Voor de aanbieders van een digitale dienst geldt dat deze organisaties onder de richtlijn vallen als ze meer dan 50 medewerkers in dienst hebben of een omzet van meer dan 10 miljoen genereren.

Ik kan me goed voorstellen dat grote Cloud spelers onder deze richtlijn gaan vallen. Voor online marktplaatsen heb ik mijn twijfels. Echter voor online zoekmachines zijn er tijdens een grootschalige verstoring toch wel andere alternatieven te bedenken.

Aanbieders van openbare telecom netwerken en vertrouwensdiensten vallen niet onder de nieuwe richtlijn. De richtlijn wordt van toepassing op organisaties die het hoofdkantoor in een Europese lidstaat hebben of de dienst aanbieden in een Europese lidstaat.

Het is zeer waarschijnlijk dat de bevoegde autoriteit in Nederland organisaties gaat aanwijzen die onder deze nog te ontwikkelen wet- en regelgeving gaan vallen.

Definitie beveiligingseisen

De eisen worden als volgt gedefinieerd in de richtlijn netwerk- en informatiebeveiliging:
Het vermogen van netwerk- en informatiesystemen om met een bepaalde mate van betrouwbaarheid bestand te zijn tegen acties die:

  1. De beschikbaarheid
  2. Authenticiteit
  3. Integriteit
  4. Vertrouwelijkheid

Van de data of de daar aan verbonden diensten in gevaar brengen. Data wordt vervolgens nog uitgesplitst naar opgeslagen data, verzonden of verwerkte data.

Maatregelen voor essentiële diensten

Artikel 14 zegt volgende omtrent de maatregelen die de aanbieders van essentiële diensten dienen te nemen:

  1. De maatregelen dienen een risico’s te beheersen. (daarmee is in de basis een risico analyse het uitgangspunt zoals geldt voor de meeste normenkaders).
  2. Het moeten passende maatregelen zijn.
  3. Er worden zowel technische als organisatorische maatregelen verwacht.
  4. Voor technische maatregelen wordt een relatie gelegd met de “stand van de techniek”.

Maatregelen voor digitale diensten

In artikel 16 worden de beveiligingseisen genoemd voor de aanbieders van digitale diensten. Dit komt grotendeels overeen met de eisen die gesteld worden aan de organisaties die de essentiële diensten leveren. Wel wordt hier iets meer richting gegeven, het voelt als een minimale set van maatregelen. De volgende aspecten worden aangehaald:

  1. De beveiliging van systemen en voorzieningen.
  2. Behandeling van incidenten.
  3. Beheer van bedrijfscontinuïteit.
  4. Toezicht, controle en testen.
  5. Het in acht nemen van internationale normen.

Meldplicht

De richtlijn schrijft voor dat melding van incidenten moeten worden gedaan aan een CSIRT (voor uitleg CSIRT, zie volgende paragraaf). De impact van een incident zal bepalen of een melding daadwerkelijk noodzakelijk is.

Qua impact voor essentiële dienstverleners wordt er gekeken naar de duur van de uitval, het aantal getroffen gebruikers en het geografische gebied. Voor digitale dienstverleners komen daar nog twee criteria bij te weten, de omvang van de verstoring op de dienst en de economische impact voor de gebruikers. De meldplicht geldt ook indien er gebruik wordt gemaakt van de diensten van derden.

Een meldplicht is niet nieuw en uiteraard een creatieve manier om informatie te verzamelen. Met deze informatie kunnen strategie / beleid en actieplannen worden ontwikkeld. We kennen dit natuurlijk al vanuit de wet meldplicht datalekken, idem kent de vitale sector al een tijd een dergelijke meldplicht.

CSIRT

In de richtlijn wordt gesproken over het oprichten van een Computer Security Incident Response Team (CSIRT). Dit mag een team per sector zijn, het kan ook een overkoepelend orgaan zijn voor alle organisaties die onder de richtlijn gaan vallen. De bevoegde autoriteit zou deze rol ook op zich mogen nemen. De hoofdtaken van een CSIRT worden als volgt beschreven:

  1. Informatie-uitwisseling over haar diensten, activiteiten en incidenten met CSIRT teams in andere lidstaten.
  2. Bijstand leveren bij incidenten.

In de richtlijn staat expliciet benoemd dat een CSIRT geen gevoelige informatie hoeft te delen. De CSIRT taak zou mogelijk toegewezen kunnen worden aan de reeds bestaande CSIRT van het Nationaal Cyber Security Centrum (NCSC).

Bevoegdheden van de autoriteit

Om de eisen van artikel 14 en 16 te kunnen toetsen dient de bevoegde autoriteit daarvoor mogelijkheden te hebben. De richtlijn netwerk- en informatiebeveiliging geeft volgende suggesties:

  1. Zorgdragen dat aanbieders van essentiële diensten of digitale dienstverleners informatie ter beschikking stellen aangaande de beveiliging van het netwerk- en de informatiesystemen.
  2. Beoordeling van het bewijs om te bepalen of de toegepaste maatregelen efficiënt en effectief zijn. In de richtlijn wordt specifiek genoemd het resultaat van een beveiligingsaudit uitgevoerd door de bevoegde autoriteit of een bevoegd auditor.
  3. De bevoegde autoriteit krijgt de mogelijkheid om bindende aanwijzingen te geven.

In Nederland lijkt Agentschap Telecom de taak van bevoegd autoriteit te gaan vervullen.

Hoe kan het er in de praktijk uit gaan zien?

Wat zou dit nu kunnen betekenen in de praktijk voor organisaties die straks onder deze wet- en regelgeving gaan vallen?

Informatie beschikbaar stellen

Duidelijk is dat organisaties informatie beschikbaar zullen moeten gaan stellen aangaande de beveiliging van hun netwerken en informatiesystemen. Hoe veel tijd en moeite dit gaat kosten zal afhangen van de bewijslast die zal dienen te worden aangeleverd en natuurlijk in hoeverre organisaties hierop al voorbereid zijn.

Bewijslast

Het kan volgens mij twee kanten op gaan. Of er wordt geëist dat de ondernemingen volledig moeten voldoen aan bestaande normenstelsels. In artikel 16 wordt hier al kort naar verwezen.

Optie 1:

In Nederland zal dan vermoed ik de keuze vallen op ISO27001/27002 (NEN7510) of een IASE3402. Nadeel die ik zie bij een ISAE3402 is dat de maatregelen door een organisatie zelf worden bepaald. Daarmee schep je geen baseline (vergelijk) tussen organisaties.

Ondanks dat de ISO27001 wel de vaste maatregelen uit de ISO27002 kent biedt dit nog voldoende mogelijkheden om de maatregelen te bepreken, denk bijvoorbeeld aan het kiezen van een beperkte scope voor het ISMS. Daarmee twijfel ik wederom of het een eerlijk en vooral objectief beeld gaat geven.

Optie 2:

Een andere mogelijkheid zou kunnen zijn om een specifiek stelsel van maatregelen op te zetten. Waarbij de set aan maatregelen gekozen dient te worden uit de welbekende normen. Ik verwacht persoonlijk dat het die kant op gaat.

Een voorbeeld van een dergelijke aanpak is een DigID audit. Hierin wordt een set van zowel organisatorische als technische maatregelen voorgeschreven die getest dient te worden door een onafhankelijk auditor. Het is een standaard set van maatregelen die in een standaard rapportage dient te worden verwoord. Deze rapportage wordt aan Logius ter beschikking gesteld om te beoordelen of de effectiviteit van de genomen maatregelen voldoende is voor deze dienst.

Comments are closed.