Zes vragen over de nieuwe Europese cybersecurityrichtlijn NIS 2 aan Yves Verhoeven. Hij is head of Strategy Department van ANSSI, de Franse tegenhanger en een belangrijke partner van het NCSC. Onder Frans voorzitterschap van de Europese Unie is NIS 2 eerder dit jaar afgerond. Het is nu aan de lidstaten om de richtlijn voor 2024 in eigen land toe te passen. Met de invoering van NIS 2 worden de cybersecurity eisen voor de hele Europese Unie verhoogd en wordt de definitie van bedrijven die essentiële diensten leveren verruimd. Wat kan dit betekenen voor de cyberweerbaarheid van Europese landen en welke gevolgen heeft het voor organisaties in het cyberdomein?
Over ANSSI: Agence nationale de la sécurité des systèmes d'information
De Franse tegenhanger van het NCSC, het Agence nationale de la sécurité des systèmes d'information (ANSSI), is opgericht in 2009. Eerst als de nationale autoriteit verantwoordelijk voor de beveiliging van ICT-systemen en cryptografie, een paar jaar later ook als de nationale autoriteit voor cyberweerbaarheid. Als regelgever en uitvoerder is het belangrijkste doel van ANSSI om normen en regelgeving voor informatieborging vast te stellen en te handhaven, en om Franse overheidsnetwerken en vitale organisaties te beschermen tegen cyberaanvallen.
ANSSI rapporteert aan de secretaris-generaal voor nationale defensie en veiligheid (SGDSN), die valt onder de premier. Dat maakt cyber daadwerkelijk chefsache in Frankrijk. ANSSI heeft een centrale positie binnen de Franse overheid en is duidelijk gescheiden van andere actoren in het cyber-ecosysteem, zoals inlichtingendiensten of handhavingsautoriteiten. Deze scheiding maakt het mogelijk een vertrouwensrelatie op te bouwen met de achterban en met het grote publiek. De rol van ANSSI is het bevorderen van een gecoördineerde, ambitieuze en proactieve respons op cyberincidenten in Frankrijk, het stimuleren van bewustwording en het verspreiden van de Franse visie en expertise, evenals Europese waarden, in het buitenland.
ANSSI neemt actief deel aan verschillende ontwikkelingen op het gebied van cyber in Frankrijk. Ten eerste staat ANSSI door de opening van de Cyber Campus in Paris La Défense nu in nauw contact met het cyber ecosysteem en draagt het rechtstreeks bij aan de activiteiten en missies van de campus om de cyberweerbaarheid in Frankrijk te verbeteren. ANSSI heeft onlangs twee afdelingen, waaronder het opleidingscentrum in de Cyber Campus-gebouwen ondergebracht. Om samenwerking met nationale publieke en private partners verder te versterken en uit te breiden, wordt een deel van de technische afdelingen verplaatst naar Rennes (Bretagne), waar ook een sterk cyber-ecosysteem bestaat. ANSSI zet in op regionale CERT-functies. Per regio moet er een cybercampus komen die de bedrijven, organisaties, overheid ter plaatse bij elkaar brengt. Dit maakt het mogelijk om rechtstreekse actie te ondernemen in de regio's en nauw samen te werken met lokale economische actoren en autoriteiten.
Ten tweede is ANSSI betrokken bij nationale cyber herstelplannen en versnellingsstrategieën als onderdeel van de investeringsplannen van Frankrijk voor 2030. Meer dan 1 miljard euro aan publieke en private financiering werd toegewezen aan cyber om het algemene cyberbeveiligingsniveau in Frankrijk te verhogen en tegelijkertijd de industrie en het concurrentievermogen te structureren. ANSSI beheert in dit verband verschillende projecten, gericht op haar achterban en industriële partners. Ze besteden bijzondere aandacht aan de ontwikkeling van innovatieve en soevereine oplossingen, zoals geautomatiseerde cyberweerbaarheidscapaciteiten en een netwerk van nationale CERTs in ministeries, regio's en sectoren.
Frankrijk was het eerste semester van 2022 de president van de Europese Unie. Wat waren uw belangrijkste prioriteiten op het gebied van cyberveiligheid in deze periode?
De ambitie van Frankrijk voor het voorzitterschap vloeit voort uit onze verwachting dat de EU haar soevereiniteit in cyberspace blijft ontwikkelen en doen gelden. De afronding van de onderhandelingen over de herziene NIS-richtlijn en de versterking van het EU-kader voor cybercrisisbeheersing en solidariteitsmechanismen moeten daaraan bijdragen. Wat NIS betreft, was ons doel om tot een evenwichtige algemene benadering te komen: ambitieus genoeg om het dreigingsniveau te evenaren en evenredig genoeg om de bevoegde autoriteiten in staat te stellen op te schalen in lijn met de uitbreiding van de doelgroep, terwijl ze toezicht houden op de meest essentiële instanties en onze operationele afdeling niet overbelasten. Het afronden van de onderhandelingen is een geweldige prestatie waarvoor ANSSI zich volledig heeft ingezet.
Een van onze doelstellingen was om, voortbouwend op de inspanningen en de geboekte vooruitgang van voorgaande jaren, een dialoog op gang brengen over solidariteit in het geval van grootschalige incidenten op EU-niveau en over het versterken van het EU-kader voor cybercrisisbeheersing. Het benadrukt de noodzaak om snel belangrijke elementen aan onze politieke leiders, als bevoegde autoriteiten, te kunnen verstrekken. Ik wens onze Tsjechische collega's veel succes, want zij zullen het werk volgend semester voortzetten. ANSSI blijft uiteraard zeer betrokken bij alle cyberonderwerpen in de EU.
Hoe verhouden de uitdagingen op het gebied van cyberveiligheid van Frankrijk zich tot die van andere EU-landen?
Ik denk dat het dreigingslandschap zich in de EU grofweg langs dezelfde lijnen ontwikkelt. ANSSI heeft onlangs via de CERT-FR haar ‘Cyber threat overview 2021’ gepubliceerd, waarin we de belangrijkste trends die vorig jaar zijn waargenomen grondig onderzoeken. In een notendop: via verplichte meldingen zien we een verhoogd aantal inbraken en aanvallen, zowel voor criminele en winstdoeleinden als voor spionage- en sabotagedoeleinden. We moeten ons collectief aanpassen aan deze evoluerende dreiging, professionaliteit en specialisatie van aanvallen die op onze vitale belangen zijn gericht. Kritieke en vitale infrastructuren zijn natuurlijk een grote zorg, aangezien we de afgelopen jaren zagen dat Franse ziekenhuizen het doelwit waren van cybercriminelen.
Met onze nationale verkiezingen, het Franse voorzitterschap van de EU in 2022 en met de aanstaande Olympische Spelen van Parijs in 2024, houden we de evolutie van het dreigingslandschap nauwlettend in de gaten. Zo zijn we zeer alert geweest op aanvallen om ons verkiezingsproces te beïnvloeden en te destabiliseren door het compromitteren van IT-systemen, zoals die van de 'Ghostwriter'-campagne. In dit verband is onze belangrijkste uitdaging als de nationale autoriteit voor cyberveiligheid om het bewustzijn over het dreigingsniveau te vergroten en de cyberweerbaarheid effectief te verbeteren bij ons openbaar bestuur, onze vitale infrastructuur en organisaties die essentieel zijn voor onze economie en samenleving, en meer in het algemeen onder de hele bevolking.
De NIS 2-richtlijn is recentelijk ingevoerd. Wat zijn de belangrijkste veranderingen voor organisaties zoals de uwe?
Aangezien de reikwijdte van NIS 2 aanzienlijk is toegenomen, zal de doelgroep van ANSSI met ongeveer 10 worden vermenigvuldigd. Deze uitbreiding is nodig om het algehele cyberveiligheidsniveau effectief te verhogen en aan te passen aan het dreigingslandschap. We moeten onze methoden en werkwijzen aanpassen om toezicht te houden op onze gereguleerde bedrijven en organisaties en hen te begeleiden bij deze overgang. Het verzamelen en beheren van gegevens van onze gereguleerde bedrijven en organisaties zal ook de sleutel zijn tot een succesvolle implementatie: we moeten snel contact met hen opnemen en zorgen voor een gemakkelijke toegang tot informatie, advies, waarschuwingen en dergelijke. Daartoe zullen geautomatiseerde tools worden ontwikkeld. Naast interne organisatorische aanpassingen is het belangrijk om een beroep te kunnen doen op betrouwbare particuliere dienstverleners: een sterk en betrouwbaar ecosysteem waarop ANSSI en onze doelgroepen kunnen vertrouwen, zal essentieel zijn om onze ambitie voor de implementatie van NIS 2 te behalen.
Hoe draagt NIS 2 bij aan een hoger cyberweerbaarheidsniveau in de Europese lidstaten afzonderlijk en in Europa als geheel?
Ten eerste is de uitgebreide reikwijdte van NIS 2 van fundamenteel belang binnen de filosofie die werd gepromoot: cybersecurity is een kwestie om rekening mee te houden voor een groot deel - zo niet het geheel - van onze economie en samenleving. Omdat ze zwaar wegen in het vermogen van een organisatie om weerbaar te zijn, moeten cyberrisico's zeer breed worden afgewogen. Het is onze plicht als regelgever om ervoor te zorgen dat organisaties risico’s afdoende wegen en hun beveiligingsniveau verbeteren. Een onderling verbonden netwerk en complexe supply chain-kaders spreiden de risico's, waardoor een groter aantal organisaties hun bescherming en weerbaarheid moeten vergroten.
Ten tweede vormen de door NIS 2 vereiste beveiligingsmaatregelen de kern van een succesvolle implementatie door te zorgen voor een geleidelijke en proportionele aanpak voor alle gereguleerde bedrijven en organisaties. Het streven naar harmonisatie van deze maatregelen kan nadelig blijken voor het verlagen van de uitvoeringskosten, met name voor entiteiten die in verschillende lidstaten actief zijn, en voor het vergemakkelijken van de invoering van dergelijke maatregelen.
Ten slotte zal de herziene NIS-richtlijn het mandaat versterken van netwerken die essentieel zijn om samen te werken op belangrijke beleidsterreinen en operationele onderwerpen. De NIS Cooperation Group heeft bijvoorbeeld uitstekend werk geleverd met betrekking tot de veiligheidsrisico's van 5G, of meer recentelijk met Open RAN. Terwijl het CSIRT-netwerk en het Cyber Crisis Liaison Organization Network (CyCLONe) enorme vooruitgang hebben geboekt bij het opbouwen van vertrouwen om het niveau van paraatheid en samenwerking op EU-niveau te verbeteren in geval van grootschalige cyberbeveiligingsincidenten en -crises.
Welke mondiale coalities en maatregelen zijn er naast de NIS 2-richtlijn nodig om een hoger niveau van cybersecurity in Europa te bereiken?
NIS 2 is in ten eerste gericht op het verhogen van het cyberweerbaarheidsniveau van bedrijven en organisaties, zowel publiek als privaat. Ten tweede legt het zich toe op het verhogen van het algemene cyberweerbaarheidsniveau in Europa en het vergroten de weerbaarheid van onze burgers in hun dagelijks leven.
Wat het eerste punt betreft, biedt de Cybersecurity Act het kader voor een geleidelijke aanpak van cyberveiligheid van ICT-producten, -diensten of -processen om zo alle afnemers een duidelijk beeld te geven van betrouwbare producten die aansluiten bij zowel de eigen behoeften als de wettelijke vereisten. Het ontwikkelen van coherente en ambitieuze regelingen is van cruciaal belang om het cyberbeveiligingsniveau in de EU te verhogen, omdat ze de digitale Europese interne markt en de harmonisatie van onze certificeringsprocessen bevorderen,
Wat het tweede punt betreft, zal de aanstaande cyberweerbaarheidswet een efficiënte aanvulling zijn op cybersecuritycertificeringsregelingen door de beveiliging van consumentenproducten en -diensten te verbeteren. De eisen die door deze wetgeving worden gesteld, moeten passen bij het dreigingslandschap en ervoor te zorgen dat burgers veilig kunnen profiteren van het potentieel van deze producten en diensten gedurende de gehele levenscyclus.
Een andere belangrijke stap zou zijn om bepaalde dienstverleners, bijvoorbeeld voor audits of incidentrespons, op EU-niveau te certificeren. Dit zorgt ervoor dat exploitanten en nationale autoriteiten kunnen vertrouwen op een groot en vertrouwd ecosysteem om hen te ondersteunen. Als we het cyberweerbaarheidsniveau in de EU op de lange termijn willen verhogen, kunnen we namelijk niet alleen vertrouwen op nationale bevoegde autoriteiten. We moeten de ontwikkeling naar betrouwbare particuliere dienstverleners op een geharmoniseerde manier bevorderen.
Wat is volgens u de belangrijkste uitdaging voor Europese lidstaten op het gebied van cybersecurity?
Onze inspanningen zijn gebaseerd op verschillende actielijnen die samen een sterk cyberbeveiligingsniveau vormen. Ten eerste moeten we onze preventie- en responscapaciteiten versterken. Dat is de kern van de NIS 2-richtlijn. Ten tweede is het noodzakelijk te kunnen vertrouwen op particuliere partners om het algehele vertrouwen en het veiligheidsniveau in de digitale ruimte van de EU te verhogen. Vanaf nu stellen Europese certificeringsregelingen voor producten en digitale diensten ons in staat de betrouwbaarheid ervan te beoordelen. Om ons reactievermogen te vergroten zullen we in de toekomst ook certificering van cybersecurity-serviceproviders ontwikkelen, bijvoorbeeld voor incidentrespons. Ten derde zullen we via het Europees competentiecentrum voor industrie, technologie en onderzoek en het bijbehorende netwerk van nationale coördinatiecentra samenwerken om onze expertise van sleuteltechnologieën, zoals 5G, Cloud, IoT,...., te vergroten. En tot slot, om onze cyberweerbaarheid te waarborgen, moeten we onderlinge bijstand binnen de EU mogelijk maken door de ontwikkeling van responscapaciteiten. Die kunnen de respons op een aanval ondersteunen of overnemen als de nationale capaciteiten overbelast zouden raken. In een notendop: ANSSI dringt aan op deze veelzijdige aanpak om de talrijke cyberuitdagingen aan te pakken waarmee we worden geconfronteerd.