NIS2 heeft IAM nodig, ook al wordt het niet expliciet genoemd

Inleiding

De richtlijn netwerk- en informatiesystemen (NIS) 2 is de nieuwe EU-richtlijn inzake cyberbeveiliging die tot doel heeft het niveau van cyberbeveiliging in Europa op langere termijn te verhogen. Op 16 januari treedt de richtlijn in werking en over 2 jaar moet deze vertaald zijn in de wetgeving van de lidstaten. De primaire focus van NIS2 is organisaties die werkzaam zijn in de vitale infrastructuur, maar de doelgroep is verbreed ten opzichte van de vorige NIS (uit 2016).

De definitie van vitale infrastructuur is nu zo breed, dat u ervan uit mag gaan dat uw organisatie eerder moet voldoen, dan niet!
En vanuit ons perspectief… Wij ondersteunen NIS2, maar het gaat niet specifiek in op Identity and Access Management, het noemt alleen kort toegangscontrolebeleid (ISO27000 serie) in sectie 79. En dat is een punt van zorg omdat IAM het onzichtbare fundament is van NIS2. Ik zal daar in dit artikel dieper op ingaan.

Het effect van NIS2 op organisaties

“Optioneel is geen optie meer”, zoals minister van Justitie en Veiligheid Dilan Yeşilgöz Zegerius afgelopen oktober op OneConference in Den Haag zei.

Hier is het, De NIS2-verordening van de EU. Het zal gevolgen hebben voor de activiteiten van uw organisatie en we verwachten dat het een aanzienlijke impact zal hebben. NIS2 heeft niet alleen betrekking op de zeer kritische en vitale industrie, ook aanverwante sectoren vallen onder de richtlijn.

U hebt niet langer de optie om alleen maar te plannen of om de implementatie van beveiligingscontroles uit te stellen, NIS2 is er nu, en stelt dat de implementatie van beveiliging een verantwoordelijkheid is van het C-niveau. Sterker nog, het gaat om de “Verantwoordelijkheid van het bedrijfsmanagement voor de naleving van maatregelen voor risicobeheer op het gebied van cyberbeveiliging”. Het is geen optie om zomaar een Chief Information Security Officer (de CISO, een functie zonder mandaat of budget) aan te wijzen als verantwoordelijke voor de beveiliging. Nee, het is het C-niveau met de mandaten, de raad van bestuur, bestaande uit de CEO en de CFO. De rol van de CISO is om het topmanagement te begeleiden bij het bereiken van een aanvaardbaar niveau van risico- en beveiligingsbeheer, niet om een zondebok te zijn voor de echte belanghebbenden.

Hoe dan ook, het C-niveau moet zich bewust zijn van hun rol als verantwoordelijke stakeholders voor beveiliging (zie whitepaper over strategische afstemming).

De impact van NIS2 op IAM

Identiteitsbeheer en toegangscontrole zijn altijd essentiële onderdelen geweest van informatiebeveiliging. In de internationale beveiligingsbasislijn ISO 27002 wordt een heel hoofdstuk gewijd aan toegangscontrole en in verschillende hoofdstukken worden specifieke onderwerpen op het gebied van toegangscontrole behandeld, zoals fysieke toegangscontrole en in IT-operaties. Maar in NIS2 wordt IAM niet genoemd. Er wordt niet verwezen naar Access Governance, Identity Management, joiner-mover-leaver processen of RBAC (Role Based Access Control). Zelfs de digitale identiteitsportefeuille van de EU wordt niet genoemd.

Traditioneel wordt IAM behandeld als een IT-verantwoordelijkheid die de business in staat stelt (meer uitleg in ons Business to IT alignment report). Door NIS2 zal dit moeten veranderen. Niet in de laatste plaats vanwege een fundamentele verandering in de manier waarop NIS2 de beveiliging behandelt, met name door het concept van de toeleveringsketen aan te pakken. De supply chain concept betekent dat (bijna) elke organisatie diensten levert aan andere organisaties, maar ook diensten afneemt van andere aanbieders. En zoals we de afgelopen jaren hebben kunnen zien is dat deze supply chain gevolgen heeft voor de beveiliging, organisaties kunnen het slachtoffer worden van0 aanvallen bij hun providers. Beveiligingsincidenten zoals (Non-)Petya en Solarwinds zijn voorbeelden van deze risico’s.

Beveiligingscontroles zijn niet langer beperkt tot de organisatie zelf, elke organisatie (met name de organisaties die direct worden gezien als de NIS2-onderwerpen) wordt niet langer behandeld als een autonome entiteit, maar vult een deel in van de hele keten van gebeurtenissen en diensten. Hetzelfde geldt voor het begrip “cloud”. Niet langer is de cloud slechts een onderdeel van netwerk- en computermiddelen, cloud is een geïntegreerd concept op het gebied van bedrijfsvoering, het wordt niet langer als extern behandeld, cloud maakt deel uit van de business. Contracten staan centraal, het gaat niet meer alleen om SLA’s en beschikbaarheid.

Meer controle over meer identiteiten

Wat dit betekent voor IAM is dat organisaties controle zullen moeten hebben over meer identiteiten dan alleen hun eigen, ze moeten omgaan met oneindige aantallen identiteiten (inclusief de identiteit van dingen!), maar ze moeten ook de complexiteit van het beheer van toegang in de toeleveringsketen aanpakken. Controle is niet langer beperkt tot een Active Directory. Governance is niet alleen ‘wat je ziet, is wat je krijgt’. Het is ook ‘wat je wilt toestaan, is wat je moet beheren’. De implementatie van gangbare toegangscontroleconcepten zoals rolgebaseerde toegangscontrole zal moeten worden aangepast om de integratie in de toeleveringsketen aan te kunnen. Federatie, beheer van het toegangsbeleid en zero trust-concepten moeten aan de beveiligingsgereedschapskist worden toegevoegd. Voor continue authenticatie zullen nieuwe infrastructuur en beleidsbeheer nodig zijn. In NIS2 wordt het concept van continue en multi-factor authenticatie expliciet behandeld – zero trust is the way to go!

Dit betekent ook dat in NIS2 nieuwe manieren van verslaglegging en controle moeten worden toegepast. Controleurs moeten onder ogen zien dat concentratie op relatief eenvoudige traditionele veiligheidscontroles zoals het wachtwoordbeleid en hercertificering van gebruikersaccounts niet langer doeltreffend zal zijn.

Vervolg stappen

Hoewel Identity and Access Management nergens in de verordening wordt genoemd, kunt u niet aan NIS2 voldoen als u de toegang niet beheerst. IAM is het onzichtbare fundament van NIS2. Een goed startpunt zou zijn om uw eigen visie op toegang te creëren, uw strategie en stappenplan op te stellen. En neem een bredere kijk op identiteit op, om te voldoen aan NIS2.

Over de auteur

André Koot
CCSO

andre.koot@sonicbee.nl

André Koot is principal IAM consultant en mede-oprichter van SonicBee. Hij heeft 20 jaar ervaring in het Cyber Security domein, waarvan hij de laatste 10 jaar specifiek gericht is op Identity en Access Management. Hij is een absolute topexpert op dit gebied, internationaal erkend. André levert een actieve bijdrage aan het IAM domein, onder meer in zijn rollen als: Bestuurslid Cloud security alliantie NL chapter, Lid IDPro commissie en lid adviesraad Identity.Next.

Over SonicBee

SonicBee is hét Identity and Access management (IAM) bedrijf dat innovatieve en intelligente management services en business consultancy biedt, waardoor bedrijven slimmer, sneller en veiliger worden. Wij zorgen ervoor dat alles en iedereen binnen uw omgeving op een veilige, compliant en slimme manier toegang heeft tot informatie.

We dagen de bestaande markt uit door op een nieuwe manier naar identiteiten en data te kijken. SonicBee biedt intelligente toegangsoplossingen, advies en implementaties, gericht op het vergroten van de cybersecurity van onze samenleving en het creëren van bedrijfswaarde.