MSP’s en MSSP’s zijn aan zet om Europa veiliger te maken

‘De Europese Unie merkt Managed Service Providers en Managed Security Service Providers aan als vitale organisaties. Dat is een mooi compliment, maar dat betekent ook dat wij als kanaal moeten voldoen aan strengere eisen. Terecht, want een serieus incident legt zo een deel van onze maatschappij plat.’ Aan het woord is Dave Maasland, CEO van ESET Nederland met een duidelijke boodschap aan MSP’s en MSSP’s in Nederland.

Cybersecurity moet binnen de Europese Unie naar een hoger niveau. Met de toenemende digitalisering bleek de eerste Network and Information Security (NIS) richtlijn die werd uitgevaardigd door de Europese Unie een stap in de juiste richting, maar niet breed genoeg. Daarom werd in mei 2022 de nieuwe (voorlopige) NIS2-richtlijn aangenomen door het Europees Parlement en Raad. Vanaf het moment dat de richtlijn officieel wordt gepubliceerd, hebben de EU-landen 21 maanden de tijd om de richtlijn om te zetten naar hun nationale wetgeving.

Wat is NIS?
‘Deze richtlijn regelt de mate van beveiliging van vitale netwerkinfrastructuur. Dus hoe wordt de vitale infrastructuur beveiligd? Dat wordt op Europees niveau geregeld, want de organisaties zijn met elkaar verbonden. Security is een ketenprobleem. Dus het gaat over de nationale veiligheid en die van Europa’, vertelt Dave Maasland, CEO van ESET Nederland. ‘Je zou kunnen zeggen: wat de AVG is voor privacy, is de NIS2 in bepaalde mate voor security.’

‘De AVG en de NIS2 zijn vergelijkbaar: de richtlijn is Europees geregeld. Er is een meldplicht. En je bent als bestuurder persoonlijk aansprakelijk als je je spullen niet op orde hebt.’ Maar waarom werd NIS2 geïntroduceerd? ‘Versie twee was nodig omdat wat vroeger misschien niet vitaal was, nu wel vitaal is. De EU heeft daarom gezegd: we moeten de wet uitbreiden én meer organisaties aanmerken als vitaal.’

Welke nieuwe sectoren vallen nu binnen NIS2?
Waar eerder bijvoorbeeld olie en gas, energie en banken vielen onder de richtlijn, worden nu ook andere organisaties als vitaal bestempeld, vertelt Maasland: ‘Denk aan postvoorzieningen, logistieke bedrijven, de maakindustrie, afvalverwerkers, de gezondheidszorg en fabrikanten van zorgapparatuur. Maar denk ook specifiek aan managed serviceproviders en managed security serviceproviders!’

‘De pandemie heeft ervoor gezorgd dat de Europese Unie zich steeds beter beseft dat logistiek, ziekenhuizen, de maakindustrie echt een vitale rol spelen in onze maatschappij. Ook realiseerde de EU dat MSP’s en MSSP’s tot die essentiële groep organisaties behoren. Dat is een mooi compliment om aan te tonen dat het kanaal echt onmisbaar is in onze digitale maatschappij.’

MSP’s en MSSP’s als vitale organisaties
De Europese Unie realiseert zich dus ook dat MSP’s en MSSP’s het hart zijn van de digitale ontwikkelingen en zorgen voor digitale transformaties. Maasland: ‘De keerzijde van die medaille is dat als deze sector wordt getroffen door serieuze incidenten, en die hebben we al een paar keer gezien, onze maatschappij voor een groot gedeelte plat kan komen te liggen. En daarom ben ik heel blij met deze wet omdat wij een vitale sector zijn.’

‘De komst van NIS2 moet ook het Nederlandse partnerkanaal wakker schudden, want ze moeten enerzijds hun klanten gaan helpen om hieraan te voldoen. Anderzijds krijgen ze zelf te maken met een meld- en zorgplicht, waarvoor ze proactieve monitoring moeten inzetten. Ik denk: het Nederlandse partnerkanaal moet verantwoordelijkheid nemen, ambitie tonen en vooroplopen als het gaat om NIS2. Want het zou zonde zijn dat als klanten aankloppen, zij eerst zelf nog alles moeten inrichten.’

Te weinig aandacht voor NIS2
‘Zij moeten het goede voorbeeld geven op digitale weerbaarheid. Maar ik ben bang dat er nog te weinig aandacht is. De weerbaarheid neemt bij MSP’s echt wel toe, maar de dreigingen nemen sneller toe. De risico’s worden te groot. Er wordt dan al snel gezegd: maar we moeten concurreren op prijs. Het is tijd dat MSP’s en MSSP’s hun verantwoordelijkheid nemen en dingen anders gaan regelen.’

De digitale hygiëne op orde
Voor veel organisaties betekent NIS2 dat risicobeheersing op een volwassen niveau wordt uitgevoerd. ‘Je moet continu weten welke risico’s je loopt, welke maatregelen je kunt nemen, continu checken of alles werkt en als het niet werkt, dat je weet hoe je het kunt herstellen en kunt reageren, en dat je periodiek toets of alles nog in orde is. Het gaat er eigenlijk om dat je digitale hygiëne op orde is.’

Het is volgens Maasland niet gek dat organisaties soms niet aan deze volwassen risicobeheersing zijn toegekomen. ‘De digitale transformatie is de afgelopen jaren versneld doorgevoerd vanuit een overlevingsinstinct, want anders konden we de klant niet meer bedienen. Alleen wordt er soms te weinig stilgestaan bij de risico’s die zijn gecreëerd door deze versnelde digitalisering.’

Snel op orde brengen
Organisaties moeten hun digitale basishygiëne op orde brengen, zoals Maasland het omschrijft. ‘Sinds de pandemie is het ook normaal dat we in onze ellenboog niezen en vaker onze handen wassen. Datzelfde geldt voor de digitale basishygiëne voor organisaties: als we die niet snel op orde brengen, dan komen we in grote problemen. En we moeten niet meer willen accepteren dat we niet op het gewenste niveau van basishygiëne zitten.’

MSP’s en MSSP’s hebben in het bijzonder werk te verrichten, want naast dat ze zelf nu behoren tot vitale organisaties, bedienen ze ook klanten die zich klaar moeten maken voor NIS2. ‘Wat mij betreft is planning en voorbereiding cruciaal. Je moet weten waar je nu staat. Als er een moment is om een cybersecurity assessment te doen, dan is het nu. NIS2 vertelt waar je moet staan, zodat je ook weet wat je nog moet doen.’

Een goede voorbereiding is het halve werk
Natuurlijk hebben niet alle organisaties evenveel stappen te zetten. Organisaties die bijvoorbeeld voldoen aan ISO7001 zijn al goed op weg. Maar dan kunnen ze een andere rol vervullen, vertelt Maasland: ‘Heel veel organisaties hebben nog niet van deze wet gehoord, dus ga je klanten voorzien van informatie. Vertel ze wat eraan komt en leg de basisprincipes van een assessment uit, zodat ze weten wat ze kunnen verwachten.’

Als MSP’s zich nu al goed voorbereiden en met de NIS2 aan de slag gaan, dan biedt dat volgens Maasland ook een kans: ‘Ik ben van mening dat er een kans ligt om te laten zien dat je het beste jongetje van de klas bent. Door nu al van start te gaan, kan je op tijd je klanten gaan helpen. En omdat je het zelf hebt doorlopen weet je welke stappen je moet doorlopen én waar je tegenaan gaat lopen.’

De meeste zorgen over cyberdreigingen
‘Uit onderzoek van het NCTV blijkt dat van alle dreigingen die impact hebben op onze nationale veiligheid Nederlanders zich het meest zorgen maken over cyberdreigingen. En dat is logisch, want alles is internet. De NIS2-richtlijn vormt een startpunt om onze basishygiëne te verbeteren. Ik hoop dat MSP’ers als eerste uit de startblokken komen. Want dan hebben ze de tijd en ruimte om ook de rest van de organisaties hiermee te helpen.’

Auteur: Anne van den Berg