Vanaf 2025 is een wet van kracht die veel organisaties verplicht om goede beveiliging tegen cybercrime te hebben. De op de Europese NIS-2-richtlijn gebaseerde regels gelden ook voor toeleveranciers van deze organisaties. Daarom zijn ze ook voor de meeste beveiligingsbedrijven van toepassing. Die kunnen bovendien profiteren van de richtlijn. Reden voor Paxton Benelux om NIS-2 als onderwerp van een roadshow te kiezen.

Paxton kan er over meepraten. In 2021 werd het bedrijf getroffen door een cyberaanval die het hele bedrijf wekenlang platlegde. De fabrikant weigerde losgeld te betalen aan de cybercriminelen, waardoor praktisch alle data van het bedrijf verloren ging. Paxton Benelux werd niet getroffen, maar vond uiteraard wel hinder van het incident, omdat de productie gestaakt werd. Het had weinig gescheeld of het incident was het bedrijf fataal geworden.
De Europese Unie wil dat het bedrijfsleven weerbaarder wordt tegen dit soort aanvallen, die schadelijk zijn voor de bedrijven zelf, maar ook voor het gehele economische en maatschappelijke verkeer. Daarom is de NIS-2-richtlijn opgesteld. Lidstaten zijn verplicht deze richtlijn in wetgeving op te nemen, waaraan grote aantallen bedrijven vanaf 2025 moeten voldoen. Ook de meeste beveiligingsbedrijven zullen ‘NIS-2-compliant’ moeten worden. Dat begint met een stukje bewustwording. Reden voor Paxton Benelux om met een roadshow op aantrekkelijke locaties het onderwerp onder de aandacht van klanten te brengen.

Werkwijze cybercriminelen
Paxton had NIS-2-specialist Jasper Fioole van PLTFRM.nl uitgenodigd om de richtlijn toe te lichten. Die vertelde hoe hackers te werk gaan en waarom het bij Paxton in Engeland zo uit de hand kon lopen. De cybercriminelen breken eerst in op het computernetwerk. Vaak door een medewerker te verleiden op een linkje in een phishingmail te klikken. Vervolgens brengen zij alle data in kaart, inclusief de back-ups. Dat duurt gemiddeld 37 dagen. Tot slot versleutelen zij alle data en geven zij het slachtoffer drie dagen om een groot bedrag in bitcoins te betalen, anders wordt de data voorgoed vernietigd en worden veelal ook nog persoonsgegevens openbaar gemaakt. Wie betaalt houdt het ‘business model’ van de criminelen in stand en krijgt vaak een puinhoop terug, waarbij het ook nog weken kan duren om alles te herstellen.
Met goede maatregelen is dit soort ellende grotendeels te voorkomen, aldus Fioole. Dat begint met aantoonbare controle over de informatiebeveiliging, wat meteen ook de ‘rode draad’ is van NIS-2. Het is echter niet eenvoudig om die controle aantoonbaar te maken. Het is niet een kwestie van een ‘checklist’ afwerken, zoals bij veel certificatiestelsels. En er is ook geen certificatiestelsel voor NIS-2.

Sectoren
De NIS-2-richtlijn is geen overbodige luxe. Meer dan de helft van de bedrijven heeft de afgelopen tijd met cyberaanvallen te maken gehad en de gemiddelde schade is meer dan een kwart miljoen euro. Het aantal aanvallen neemt intussen toe met zo’n 55 procent per jaar. Uiteindelijk zou deze ontwikkeling de Europese economie kunnen verlammen. Vandaar dat nu versneld wetgeving wordt ingevoerd. Deze heeft in eerste instantie betrekking op bedrijven in de energie, transport, infrastructuur financiële markt, gezondheidszorg, drinkwater, digitale infrastructuur, belangrijke entiteiten, kritieke sectoren, digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, afvalwater, overheidsdiensten, lucht- en ruimtevaart, beheerders van ICT-diensten, bankwezen, chemische stoffen, onderzoek en vervaardiging/productie. Ook is de NIS-2 van toepassing op bedrijven met meer dan 50 medewerkers en/of een omzet van 10 miljoen euro per jaar. In tweede instantie geldt de richtlijn voor toeleveranciers van deze sectoren. Daaronder vallen de meeste beveiligingsbedrijven.

Vervelend?
Fioole begrijpt dat veel bedrijven de NIS-2 vervelend vinden. Weer allerlei regels waaraan je moet voldoen. Maar de richtlijn biedt volgens hem ook interessante commerciële kansen. Organisaties dienen namelijk voor adequaat toegangsbeheer te zorgen en dat is waar klanten van Paxton hun dagelijks brood mee verdienen. Daar staat tegenover dat zij ook zelf de zaken op orde moeten hebben. Dan begint met een risicobeoordeling, het monitoren van de eigen ICT-systemen en het signaleren van ongewoon verkeer op het netwerk, het risicobewust maken van de medewerkers, zorgen voor beleid en procedures ten aanzien van kwaliteitsbeheersing, zorgen voor een incidentresponsplan voor als het toch mis gaat, het maken en onderhouden van een business continuity-plan en een meldsysteem, waarmee binnen 24 uur incidenten gemeld kunnen worden bij de betreffende instanties. Het lastigste onderdeel is het controleren van toeleveranciers. Zeker als die van buiten de EU komen, waar de NIS-2 niet geldt.

Goede zaak
Stefan van der Velden van Paxton Benelux wees de deelnemers erop dat zij onderdeel zijn van de keten en daarom in de meeste gevallen ook aan NIS-2 moeten voldoen. Daarnaast kunnen zij hun klanten helpen om aan de richtlijn te voldoen. Een cyberaanval wordt niet altijd van buitenaf uitgevoerd. Soms verschaffen hackers zich toegang tot het pand van hun slachtoffer om van binnenuit te kunnen toeslaan. Dat is met goed toegangsbeheer tegen te gaan. Een logische vraag is dan: is Paxton NIS-2-compliant? Dat is niet het geval. Een bedrijf kan zich weliswaar aan de richtlijn houden, maar dat is niet met een certificaat of iets dergelijks aan te tonen. Wel voldoet de fabrikant later dit jaar aan de ISO27001 voor informatiebeveiliging. Daarmee is dan voor zo’n 80 procent aan de eisen van NIS-2 voldaan. Dat biedt echter geen garanties voor een veilig toegangsbeheer. Een goed slot op een bordkartonnen deur is nog steeds niet veilig! Certificering van toegangsbeheer zou een goede zaak zijn, aldus Van der Velden, maar die is tot nu toe niet tot stand gebracht. Het is dus aan de installateur om ervoor te zorgen dat alle elementen van het toegangsbeheer van goede en aantoonbare kwaliteit zijn. Het moet onbevoegden zo praktisch onmogelijk worden gemaakt om bij de serverruimte van het gebouw te komen of om usb-sticks met kwaadaardige software in onbeheerde PC’s te steken. Paxton zorgt ervoor dat zijn producten niet de zwakke schakel in het geheel vormen en geeft gratis trainingen aan eindgebruikers om ervoor te zorgen dat een goed systeem ook goed gebruikt wordt. Zo wordt de Europese vitale infrastructuur toch weer een stukje weerbaarder gemaakt.

De KenNIS-2-tour vindt 19 juni nog plaats in Louwman & Parqui in Raamsdonksveer en 20 juni in Technopolis in Mechelen.