De tweede Network and Information Security (NIS2) richtlijn is wellicht de belangrijkste beveiligingsmaatregel die Europa ooit heeft genomen. De 27 Europese lidstaten hebben nog tot 17 oktober om te voldoen aan de nieuwe, strengere standaarden. Tegen die tijd moeten organisaties in de EU hun beveiliging aanzienlijk versterken, en zullen ze bijvoorbeeld veel minder tijd krijgen om cyberaanvallen te melden.
Niet alleen de inhoud van NIS2 is ambitieus, ook de reikwijdte ervan. Waar NIS1 in sommige landen slechts op een duizendtal entiteiten van toepassing was, hebben we het bij NIS2 al snel over tienduizenden. Ook de straffen worden strenger. Zo worden bedrijfsleiders persoonlijk verantwoordelijk gehouden bij slecht beheer – een ongeziene primeur.
Elke maatregel heeft natuurlijk voor- en tegenstanders, en NIS2 vormt hierop geen uitzondering. Sommigen stellen dat een te streng kader innovatie in de weg zal staan. Anderen beweren juist dat de nieuwe regelgeving investeringen in cybersecurity zal stimuleren. Wie heeft het gelijk aan zijn zijde?
Nood aan betere wetgeving
Waarover iedereen het eens is, is dat onze organisaties dringend behoefte hebben aan een duidelijk kader. Generatieve AI zorgt voor een ongekende explosie van steeds geavanceerdere aanvallen. Zo ontdekten onderzoekers van Palo Alto Networks onlangs een aanval waarbij 2,5 terabytes aan data werd gestolen in minder dan 14 uur. Bedrijven moeten duidelijk weerbaarder worden. Die veerkracht moet van meet af aan worden ingebouwd en een inherent onderdeel van de bedrijfscultuur vormen.
Rem op innovatie?
Wat momenteel fel bediscussieerd wordt, is de strengheid van het wettelijk kader, met name de sancties. Bedrijven willen sancties vermijden en zullen daardoor misschien minder durven innoveren, zo luidt de argumentatie. Dit valt zeker te begrijpen, vooral met de opkomst van veelbelovende AI-technologieën. NIS2 laat echter ook ruimte voor nieuwe ontwikkelingen “die de capaciteit en veiligheid van IT-systemen verbeteren.”
Strikt kader
Een opvallende vaststelling is dat NIS2 vooralsnog weinig regels bevat over de detectiefase van een cyberaanval. Hopelijk zal de Implementing Act, die nog dit jaar verwacht wordt, concrete aanwijzingen bevatten voor het identificeren en voorkomen van kwaadaardig gedrag op een netwerk. Technologieën zoals AI en machine learning kunnen hier zeker bij helpen.
Een andere bedenking bij NIS2 is dat de uniforme standaarden moeilijk toepasbaar zijn van de ene sector op de andere. Wat geldt voor de financiële sector, is bijvoorbeeld niet van toepassing op de maakindustrie, en omgekeerd. Gelukkig bestaan er sectorspecifieke regels. Dankzij NIS2 is er nu echter een duidelijk, afgebakend kader waarbinnen organisaties kunnen opereren, wat innovatie uiteindelijk alleen maar ten goede kan komen.
Drijfveer voor innovatie
Ondanks de kritiek biedt NIS2 veel potentieel om innovatie in cybersecurity te stimuleren. Ten eerste maken nu veel meer actoren deel uit van de oplossing, waardoor de markt aanzienlijk groter wordt. En waar vraag is, ontstaat aanbod. In de komende jaren kunnen we nieuwe, ambitieuze technologieën verwachten die een deel van deze nieuwe markt willen veroveren.
Ten tweede zullen bedrijven nieuwe tools moeten omarmen om te voldoen aan de wetgeving. Denk bijvoorbeeld aan geavanceerde dreigingsdetectie of snelle incidentrespons. Moderne incidentresponsplatformen zijn tegenwoordig al uitgerust met artificiële intelligentie, waardoor veel sneller kan worden gereageerd op aanvallen. AI helpt bijvoorbeeld ook bij webfiltering en het detecteren van zero-day-aanvallen.
Ten slotte moet NIS2 ook de samenwerking bevorderen tussen organisaties, stakeholders en de wetgever. Door het uitwisselen van best practices, kennis en nieuwe technologieën kunnen grote stappen worden gezet in de beveiliging van onze organisaties.
Nieuwe kansen
Hoewel sommigen bezorgdheden hebben geuit over NIS2 – vooral op het gebied van sancties en persoonlijke aansprakelijkheid – wegen deze zorgen niet op tegen de innovatie die de richtlijn stimuleert. De nieuwe markt en de nauwere samenwerking tussen alle actoren maken de weg vrij voor een nieuw, beter – en uiteindelijk veiliger – Europees securitylandschap.
Broes Soetens, Country Manager BeLux bij Palo Alto Networks