Every industrial cybersecurity question demands a tailor-made answer and solution. Our focused team of professionals who understand your business are here to assist your company in securing your mission critical facilities to the highest level.
Eisen NIS2 Directive voor datacenter
Op 16 januari 2023 jl. is de EU NIS2 Directive (hierna: NIS2) van kracht geworden en het doel van deze richtlijn is om Europa digitaal veiliger te maken door het versterken van weerbaarheid tegen cyberincidenten en het beperken van gevolgen van cyberincidenten. De NIS2 is de opvolger van de in 2016 ingevoerde NIS (Network & Information Systems) richtlijn, waar vitale aanbieders en digitale dienstverleners aan moeten voldoen.
Vitale aanbieders bieden diensten aan in sectoren die van essentieel belang zijn voor het goed functioneren van de samenleving, zoals de zorg, het vervoer en de energiesector. Nederland heeft de huidige NIS richtlijn destijds geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (de Wbni). De NIS2 is ontworpen omdat de huidige NIS richtlijn volgens de Europese Raad en het Europees Parlement onvoldoende antwoord biedt op de toenemende incidenten in verband met de digitalisering van de maatschappij, zoals cyberaanvallen.
Management Summary
Concluderend kunnen wij stellen dat de NIS2 een serieuze verandering teweeg gaat brengen in het datacenter landschap. De bestuurders van datacenters kunnen zich niet meer verschuilen achter ISO certificeringen of TIER gradaties, maar zullen echt aan de slag moeten met de verbetering van hun digitale weerbaarheid. Als zij dit niet doen, dan riskeren zij niet alleen een serieus cyber incident, maar ook torenhoge boetes voor het bedrijf en het management en waarschijnlijke reputatieschade. Datacenters kunnen dit voorkomen door nu te starten met het verbeteren van hun cyberweerbaarheid. Een afwachtende houding is op dit moment geen optie, want de tijd is beperkt als een datacenter op 01-01-2025 moet voldoen aan alle gestelde eisen. Dat is minder dan twee jaar!
Verschillen tussen NIS en NIS2
De NIS 2 wijkt op verschillende punten af van de huidige NIS richtlijn. De NIS 2 versterkt de beveiligings- en rapportagevereisten voor organisaties door verplichtingen op te leggen in het kader van risicobeheersing. De richtlijn bevat daartoe een lijst met minimale beveiligingselementen die in elk geval moeten worden toegepast door zowel essentiële als belangrijke ondernemingen. Bovendien wordt de NIS2 wetgeving strenger: organisaties en hun bestuurders kunnen er (persoonlijk) op worden afgerekend indien organisaties niet voldoende cyberweerbaar zijn. En ook de termijn waarbinnen incidenten moeten worden gemeld wordt korter (24 uur).
Ook nieuw ten opzichte van de huidige NIS richtlijn is onder meer de verplichting om cyberbeveiligingsrisico’s in toeleveringsketens en relaties met leveranciers aan te pakken. Ook wordt het toepassingsgebied van de richtlijn uitgebreid door nieuwe sectoren toe te voegen die van groot belang zijn voor de maatschappij. Datacenters behoren tot deze nieuw toegevoegde categorie.
Tot slot beschrijft de NIS 2 in meer detail de bevoegdheden van nationale autoriteiten bij de uitoefening van hun toezicht- en handhavingstaken. Lidstaten moeten ervoor zorgen dat de toezichthouder de mogelijkheid krijgt om bindende instructies en bevelen te geven en administratieve boetes op te leggen. Voor Nederland is de Rijksinspectie Digitale Infrastructuur (RDI), voorheen Agentschap Telecom, de nationale autoriteit. De maximale hoogtes van deze boetes moeten de lidstaten stellen op ten minste EUR 10 miljoen of 2% van de totale wereldwijde omzet, afhankelijk van welk bedrag hoger is. Dit wijkt af van de huidige NIS richtlijn, waarin geen minimale boetehoogtes zijn opgenomen.
De NIS2 en datacenters
Het is een gegeven dat datacenters zich aan de NIS2 richtlijn en de daarop volgende nationale wetgeving zullen moeten gaan confirmeren. Betekent dit paniek? Nee, zeker niet, maar het betekent wel dat er vanaf dit moment voorbereidingen moeten worden getroffen om in januari 2025 te kunnen voldoen aan de NIS2 wetgeving. De EU landen krijgen namelijk tot 17 oktober 2024 de tijd om aan de gestelde implementatievoorwaarden van de NIS2 richtlijn te voldoen, waarbij de belangrijkste is om de NIS2 richtlijn om te zetten in nationale wetgeving voor alle essentiële en belangrijke organisaties. Zoals eerder is aangegeven bevat de NIS2 weliswaar minimale beveiligingseisen waar essentiële en belangrijke organisaties aan moeten voldoen, maar de EU landen hebben de vrijheid om deze minimale beveiligingseisen evt. verder te verscherpen en sector/organisatie specifieker te maken.
De NIS2 minimale beveiligingseisen komen in het kort neer op het volgende:
• Een risicoanalyse is stap één en er dient beleid inzake de beveiliging te worden geïmplementeerd;
• Adequaat moet er worden gehandeld bij de preventie van, opsporing van en respons op incidenten;
• Nadenken over bedrijfscontinuïteit en over crisisbeheer (business continuïteit);
• Inschatting maken m.b.t. de beveiliging van de toeleveringsketen, waarbij rekening moet worden gehouden met de specifieke kwetsbaarheden van elke partij;
• Er moet sprake zijn van beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk en informatiesystemen;
• Een beleid gebaseerd op procedures (testen en audits) om de effectiviteit van maatregelen voor het beheer van risico’s te beoordelen;
• Gebruik maken van cryptografie en encryptie.
Zoals eerder aangegeven, kunnen de specifieke eisen voor datacenters nog enigszins afwijken van het bovenstaande. De verwachting is dat het RDI de bovenstaande eisen overneemt vanuit de NIS2, maar wel iets specifieker aanscherpt voor datacenters in Nederland. Er wordt namelijk ook gekeken naar de wet- en regelgeving voor kritische infrastructuur in de Verenigde Staten, waarbij de Binding Directive 23-1 van de CISA (Critical Infrastructure Security Agency) een zeer goed voorbeeld is van concrete en toepasbare wetgeving.