Hoofdstuk 5

De impact van NIS2 en CRA

De cybersecuritywereld is constant in beweging. Niet alleen door de ontwikkeling van nieuwe technologieën, maar ook door de invoering van nieuwe wet- en regelgeving. Twee van de belangrijkste nieuwe wetten voor professionele dienstverleners zijn de NIS2 (Network and Information Security-)richtlijn en de CRA (Cyber Resilience Act).

Wat betekent NIS2 voor jou?

NIS2 is een update van de oorspronkelijke NIS-richtlijn, die een belangrijke bijdrage heeft geleverd aan het verhogen van de algehele cybersecurity in de EU. De nieuwe richtlijn focust op (cyber)risico’s voor netwerk- en informatiesystemen. Vooral door de keteneffecten die een security breach kan veroorzaken. Zie het voorbeeld van SolarWinds.

NIS2 breidt de reikwijdte van de oorspronkelijke richtlijn uit door meer sectoren aan de wet toe te voegen en versterkt de beveiligingseisen voor kritische sectoren. Denk aan het bankwezen, overheidsdiensten en onderzoek, maar ook beheerders van ICT-diensten en digitale infrastructuur. De richtlijn zal naar verwachting eind 2024 gaan gelden. Val je als organisatie onder de NIS2? Dan moet je vanaf dat moment aan de zorg- en meldplicht voldoen. Het is dus belangrijk om hiervoor tijdig de juist securitymaatregelen te implementeren.

SolarWinds hack maakt 30.000+ slachtoffers

In 2020 implementeerden hackers schadelijke code in de Orion monitoring en -beheersoftware van SolarWinds. Die code veroorzaakte een kettingreactie van getroffen organisaties. Meer dan 30.000 publieke en private organisaties beheerden namelijk hun IT-middelen via de Orion-software. Door de hack raakten de gegevens, netwerken en systemen van die organisaties besmet toen SolarWinds per ongeluk de malware als een Orion-update leverde.

Helaas bleef de schade niet beperkt tot de klanten van SolarWinds. Met de hack konden cybercriminelen ook toegang krijgen tot de gegevens en netwerken van hun klanten en partners, waardoor het aantal slachtoffers exponentieel groeide.

Wat is de Cyber Resilience Act?

De Cyber Resilience Act (CRA) is een andere belangrijke wet om de cyberweerbaarheid van organisaties te versterken. Het doel van de CRA is een gestandaardiseerde aanpak van cybersecurity in de EU, met strikte veiligheidseisen en -normen voor alle lidstaten. De wet schept voorwaarden voor de ontwikkeling van veilige hardware- en softwareproducten, zodat die met minder kwetsbaarheden op de markt worden gebracht. En de wet verplicht fabrikanten om security serieus te nemen gedurende de levenscyclus van een product.

Voor jou als professionele dienstverlener zijn deze nieuwe wetten belangrijk. Niet alleen omdat je mogelijk direct onder de doelgroep van deze wetten valt, maar ook omdat je met gevoelige klantgegevens en andere waardevolle informatie werkt die je wilt en moet beschermen. Je loopt het risico op hoge boetes en reputatieschade als je je niet aan deze regels houdt. Het naleven van de NIS2 en de CRA is dus niet alleen een wettelijke verplichting, maar ook slimme bedrijfsvoering.