De impact van NIS2 op digitale identiteiten: een uitgebreide analyse

Wouter Rijndorp

Inhoud

De NIS2-richtlijn gaat per eind 2024 gelden in Nederland en is de tweede versie van de NIS-richtlijn, wat de eerste cybersecurity-richtlijn van de Europese Unie was. Om onduidelijkheden weg te nemen en het toepassingsgebied uit te breiden, omvat de herziene richtlijn een breder scala aan sectoren en biedt het richtlijnen voor consistente implementatie in alle lidstaten van de EU.

Van toepassing op entiteiten die als “essentieel” of “belangrijk” worden beschouwd binnen alle EU-lidstaten, is het voornaamste doel van de NIS2-richtlijn het beschermen van zowel Europese organisaties als burgers.

De NIS2-richtlijn introduceert een gestandaardiseerde reeks cybersecurity-vereisten in alle EU-lidstaten, benadrukt superieure praktijken, legt strikte verplichtingen op voor het melden van incidenten en introduceert maatregelen voor handhaving en boetes. Daarnaast schrijft het de oprichting voor van een Europees programma voor samenwerking en het delen van kwetsbaarheden.

De NIS2-richtlijn houdt organisaties verantwoordelijk voor het volgende:

  • Uitvoeren van uitgebreide cybersecurity-risicobeoordelingen;
  • Implementeren van technische en organisatorische beveiligingsmaatregelen;
  • Effectief beheren van risico’s;
  • Ondersteunen van cybersecurity via training en initiatieven voor risicobeheer.

Belangrijk om op te merken is dat de NIS2-richtlijn zich onthoudt van het expliciet voorschrijven van specifieke technologische wijzigingen. In plaats daarvan schetst het concepten en optimale praktijken om de beveiligingspositie van organisaties te verbeteren.

Welke sectoren vallen onder de regelgeving van de NIS2-richtlijn?

De NIS2-richtlijn is van toepassing op organisaties die volgens EU-normen worden geclassificeerd als middelgroot of groot (dat wil zeggen, organisaties die meer dan 50 werknemers hebben en/of meer dan 10 miljoen euro aan inkomsten per jaar genereren). Deze criteria gelden echter niet voor organisaties die:

  • Aangemerkt worden als kritieke infrastructuur;
  • Dienstverleners zijn van openbare diensten (bijv. elektronische communicatienetwerken);
  • Dienstverleners zijn van een service waarvan een onderbreking de openbare veiligheid, beveiliging, gezondheid zou kunnen beïnvloeden of systemische risico’s zou kunnen veroorzaken;
  • Enige aanbieders zijn van een service aan een overheid;

Organisaties, bedrijven en leveranciers die zich moeten houden aan de NIS2-richtlijn, worden onderverdeeld in twee categorieën: essentieel en belangrijk. Dit is een wezenlijk onderscheid in de NIS2-richtlijn, aangezien er verschillende vereisten zijn voor elke categorie, afhankelijk van de producten en diensten die aan EU-lidstaten worden geleverd en de impact van een incident op hun levering. Een aantal sectoren die worden aangemerkt als essentiële entiteiten (EE) volgens de NIS2-richtlijn zijn:

  • Aerospace (lucht- en ruimtevaart)
  • Bank- en financiële marktinfrastructuur
  • Digitale infrastructuur
  • Drinkwatervoorziening
  • Energie
  • Gezondheidszorg
  • ICT (Informatie- en Communicatietechnologie) dienstenbeheer
  • Beheerde dienstverleners
  • Openbare administratie (centraal en regionaal niveau)
  • Transport
  • Afvalwaterbeheer

Een aantal sectoren die worden aangemerkt als belangrijke entiteiten (IE) volgens de NIS2-richtlijn zijn:

  • Digitale dienstverleners (bijv. zoekmachines, sociale netwerkplatforms)
  • Voedselproductie, verwerking en distributie
  • Productie van medische apparaten
  • Post- en koeriersdiensten
  • Productie, verwerking en distributie van chemicaliën
  • Onderzoek
  • Afvalbeheer

Welke veranderingen zal NIS2 met zich meebrengen?

Naast het bieden van een breder en gedetailleerder bereik (zie hierboven), zal NIS2 de volgende veranderingen/upgrades teweegbrengen (in vergelijking met de oorspronkelijke NIS):

  1. NIS2 beveiligingseisen
    NIS2 legt een kader vast voor versterkte beveiligingseisen. De mogelijkheid om de naleving van deze eisen op maat te maken, is geëlimineerd – te veel flexibiliteit onder de oorspronkelijke NIS leidde tot kwetsbaarheden. Onder NIS2 is dat verleden tijd. Het specificeert duidelijk de regels die iedereen moet volgen.

    Het vereist dat de volgende gebieden worden aangepakt:
    • risicobeoordeling en -beheer
    • cybersecuritytraining
    • securitybeleid
    • crisismanagement
    • beveiliging van de toeleveringsketen
    • behandeling en rapportage van kwetsbaarheden en incidenten
    • data encryptie

  2. Verbeterde handhaving
    Een meer uitgebreide lijst van maatregelen met betrekking tot de handhaving van NIS2 maakt ook deel uit van de nieuwe richtlijn. Boetes en sancties zijn voorgeschreven, met bindende instructies over wanneer en hoe ze moeten worden toegepast. Er mogen geen grijze gebieden zijn die ruimte laten voor interpretatie.

  3. Striktere incidentrapportage
    Het rapporteren van incidenten wordt nu verplicht. De exacte processen zijn uiteengezet in NIS2, inclusief de inhoud en planning van deze rapporten. Onder NIS2 zijn alle mogelijkheden om af te wijken verwijderd.

    Alle gevallen van cyberveiligheidsinbreuken moeten nu worden gemeld, ongeacht of de aanval al dan niet gevolgen had voor de activiteiten van de entiteit. Dit stelt autoriteiten in staat om potentiële bedreigingen beter te monitoren en erop te reageren.

    Onder het nieuwe incidentresponsplan stelt de richtlijn een tweestappenbenadering voor. Een initiële melding moet worden ingediend binnen 24 uur na het optreden van het cybersecurityprobleem en een meer gedetailleerd vervolgverslag wordt verwacht binnen een maand.

    Elke lidstaat moet ook een nationaal Computer Security Incident Response Team aanwijzen.

  4. Verbeterde samenwerking
    De NIS2-richtlijn erkent het belang van coördinatie en communicatie tussen EU-lidstaten – het doel is immers om de Europese Unie in relatieve eenheid te beschermen tegen inbreuken.

    Niet alleen zal elke lidstaat een nationale autoriteit hebben die zich toelegt op cybersecurity, maar ook het European Cyber Crisis Liaison Organisation Network zal worden opgericht om EU-brede incidenten te beheren. Dit zal een vorm van samenwerking tussen alle lidstaten van de EU creëren, waarbij de bescherming van gegevens een gezamenlijke inspanning zal zijn.

Wat is de impact van NIS2 op digitale identiteiten?

Digitale identiteiten spelen een cruciale rol in moderne bedrijfsvoering, waardoor organisaties naadloos kunnen samenwerken, zowel intern als ook extern met partners, leveranciers, externe medewerkers en klanten. Met de implementatie van NIS2 wordt het van nog groter belang om aantoonbaar controle te hebben over de toegang van de digitale identiteiten waar uw organisatie mee samenwerkt. De robuustheid van uw oplossing voor informatiebeveiliging is namelijk afhankelijk van de mate van controle en grip die uw heeft op de data en de toegang van de digitale identiteiten binnen uw organisatie.


Er is een groot verschil tussen interne- en externe identiteiten

Interne identiteiten kent u waarschijnlijk goed, dit zijn de medewerkers van uw organisatie, de mensen in loondienst. Externe identiteiten zijn personen die wel werken voor uw organisatie, maar niet in loondienst zijn of die van externe partijen komen waar uw organisatie mee samenwerkt.

Externe identiteiten zijn niet alleen de ZZP’ers en uitzendkrachten die worden ingehuurd, maar ook vrijwilligers en stagiairs. En denk vooral ook aan medewerkers van leveranciers of servicepartners in de keten waar uw organisatie deel van uitmaakt. Voor veel organisaties geldt dat het aantal externe identiteiten al snel oploopt tot 20% van de totale workforce.

Wat is er dan anders?

De AVG wet- en regelgeving is erg duidelijk over welke identiteitsinformatie wel of juist niet mag worden vastgelegd en verwerkt. Voor interne- en externe identiteiten verschilt dit behoorlijk, waardoor het een serieuze uitdaging kan zijn om te voldoen aan deze belangrijke wet- en regelgeving.

De lifecycle van een externe identiteit kan ook erg verschillen met die van een interne identiteit. Een medewerker start meestal op de eerste werkdag van een maand en wanneer iemand weggaat is dit vaak per het eind van een maand.

Voor externe identiteiten geldt vaak dat deze op een ad hoc basis aan de slag gaan of beginnen, bijvoorbeeld per de 15e van de maand. Het is vaak ook niet helemaal duidelijk of een externe identiteit nog actief is voor de organisatie, want voor de off-boarding is meestal geen gestandaardiseerd proces ingeregeld.

Dit zorgt er in de praktijk vaak voor dat de benodigde toegang tot de IT-omgeving voor externen niet op het juiste moment gereed is en dat de toegang niet op tijd of helemaal niet wordt ingetrokken. Dit leidt tot veel inefficiëntie in de vorm van belletjes, berichtjes of e-mails met hoge spoed, maar gevaarlijker nog: tot onnodige security risico’s.

Het beheren van interne- en externe identiteiten

Net als interne identiteiten hebben externe identiteiten toegang nodig tot (delen van) de IT-omgeving van de organisatie om hun rol of taak goed uit te kunnen voeren. Al is het soms alleen al vanwege het toegangspasje om het gebouw of de juiste ruimte in te kunnen komen. Hun digitale identiteitsgegevens zijn het fundament waarop toegang tot de IT-omgeving wordt ingeregeld via de Identity and Access Management oplossing van uw organisatie.

Het is daarom erg belangrijk dat de identiteitsdata van alle identiteiten zorgvuldig wordt vastgelegd en doorlopend wordt beheerd. De identiteiten van medewerkers legt u waarschijnlijk vast in het HR-systeem, dat specifiek is ontworpen met de lifecycle van medewerkers in gedachten. Voor externe identiteiten zien we dat deze in de praktijk vaak ook in het HR-systeem worden vastgelegd. Maar is dit wel verstandig, efficiënt en veilig?

Veilig en efficiënt beheer = eenvoudiger kunnen voldoen aan NIS2

In de iD Veritas oplossing kunt u alle externe identiteiten van uw organisatie invoeren en beheren. Daarnaast kunt u deze administratieve werkzaamheden ook uitbesteden aan de partijen met wie u samenwerkt, bijvoorbeeld uw (resourcing)partner of leverancier waar de externe identiteiten vandaan komen. Deze organisaties kunnen in iD Veritas zelf de gegevens van hun medewerkers vastleggen, terwijl uw organisatie op ieder moment in controle blijft over de externe identiteiten.

iD Veritas kan als bronsysteem worden aangesloten op de Identity & Access management oplossing van uw organisatie. Zo zorgt u ervoor dat externe identiteiten via de IAM-oplossing de juiste rollen, rechten en toegang krijgen, net zoals interne identiteiten. 

Dit betekent dat uw organisatie met iD Veritas beter in staat is om te kunnen voldoen aan de NIS2 richtlijn, want met iD Veritas: 

  • Kunt u eenvoudiger een uitgebreide cybersecurity-risicobeoordeling voor externe identiteiten uitvoeren;
  • Implementeert u technische en organisatorische beveiligingsmaatregelen voor externe identiteiten;
  • Beheert u de risico’s van Third Party Access op een zeer effectieve manier;
  • Ben u uitstekend in staat om cybersecurity te ondersteunen met inzicht en initiatieven voor risicobeheer.

Hoe helpt iD Veritas?

Met iD Veritas bent u in staat om het on- en offboardingproces voor externe identiteiten op een veilige, efficiënte en gecontroleerde wijze uit te voeren. Daarbij bent u volledig in controle over de gehele lifecycle. Dit doet u in 5 stappen:

  1. Alle externe identiteiten in iD Veritas
    Breng alle externe identiteiten naar iD Veritas door ze handmatig in te voeren, een CSV-overzicht te uploaden of aan te sluiten op de database van uw leverancier (via een API). Dit zorgt voor één centrale bron van zuivere data van de externe identiteiten in uw organisatie.

  2. De lifecycle van externe identiteiten
    Externe identiteiten komen uw organisatie binnen, ze veranderen misschien tussentijds van rol/functie en na verloop van tijd komt hun contract tot een einde. In iD Veritas kunt u de volledige lifecycle (ook bekend als het Joiner-Mover-Leaver process) van alle externe identiteiten beheren en geautomatiseerd laten uitvoeren.

  3. Hoe ziet dit er in de praktijk uit?
    iD Veritas stuurt de IAM-oplossing automatisch een seintje bij een contract einddatum van een externe identiteit, zodat de IAM-oplossing de bijbehorende toegang en rechten kan intrekken. Veilig en gecontroleerd!

  4. Aansluiting op een IAM-oplossing
    iD Veritas is aan te sluiten op elke Identity and Access Management-oplossing op de markt. Via open standaarden (zoals een API) verstuurt en ontvangt iD Veritas informatie van en naar de IAM-oplossing. Uw IAM-partner kan deze aansluiting tussen iD Veritas en uw IAM-oplossing voor u verzorgen. Geen IAM-partner? Dan staan The Identity Managers voor u klaar.

  5. Besteed het administratieve werk uit aan uw leveranciers of servicepartners
    U heeft de keuze om het beheer van data van de externe identiteiten aan uw (resourcing) partners uit te besteden. Zo besteedt u de administratieve werkzaamheden zoals het opvoeren, aanpassen en verwijderen van de externe identiteiten uit. Uw organisatie hoeft dan alleen de ingevoegde informatie te valideren. Makkelijk en efficiënt!

Behoud Controle en inzicht

Dankzij de security-by-design architectuur en privacy-by-default functionaliteit voor een absolute scheiding van data beheert u veilig de identiteitsdata van uw externe identiteiten. Met standaard functionaliteiten zoals een her-certificeringsproces bent u niet alleen in controle, maar kunt u dit ook aantonen. Daarmee wordt het voldoen aan wet- en regelgeving zoals de NIS2 een stuk eenvoudiger.

Meer weten? Neem contact met ons op en plan een gesprek met één van onze experts.

Interne- en externe identiteiten, hoe zit dit nou?

iD Veritas - Logo

iD Veritas stelt bedrijven in staat om het proces van het on- en offboarden veilig en efficiënt te laten verlopen.

Alles wat je moet weten

Hoe werkt het?

Waarom iD Veritas?

Prijzen

Meer informatie

Contact

Contact

Stationsweg 387, 3925 CC Scherpenzeel NL
sales@id-veritas.com
088-9982020