Uiterlijk in oktober 2024 moet de Network and Information Security Directive (NIS2)-richtlijn in Nederland zijn vertaald naar nationale wetgeving. Wat zijn de kenmerken van deze EU-brede wetgeving over cyberbeveiliging? En wat betekent dit voor beveiligingsteams in het tijdperk van ai?
De NIS2-richtlijn vereist dat lidstaten wetten aannemen die de cyberweerbaarheid van organisaties binnen de EU verbeteren. De richtlijn is van invloed op organisaties die ‘essentiële diensten verlenen’. Onder NIS1 konden EU-lidstaten kiezen wat dit inhield. In een poging om een meer consistente toepassing te garanderen, heeft NIS2 een eigen definitie opgesteld. In NIS1 werd er een onderscheid gemaakt tussen operators van essentiële diensten enerzijds en digitale service providers anderzijds. Dit verschil wordt in NIS2 opgeheven en in plaats daarvan is een nieuwe lijst van sectoren gedefinieerd.
Met deze updates wordt het moeilijker om industriesegmenten te vinden die niet binnen het toepassingsgebied vallen. NIS2 vertegenwoordigt wettelijk bindende cyberbeveiligingseisen in de Europese Unie. Opvallende kenmerken die veel aandacht trekken, zijn onder andere de strakke tijdlijnen voor het melden van een incident. Volgens NIS2 moeten entiteiten binnen het toepassingsgebied een eerste melding of ‘vroegtijdige waarschuwing’ indienen bij de bevoegde nationale autoriteit of het computer security incident response team (csirt) binnen 24 uur vanaf het moment dat de entiteit zich bewust werd van een significant incident. Dit is een nieuwe ontwikkeling ten opzichte van de eerste versie van de richtlijn, waarin vagere bewoordingen werden gebruikt over de noodzaak om autoriteiten ‘zonder onnodige vertraging’ op de hoogte te stellen.
Inspecties
Een ander aspect dat aandacht krijgt, is toezicht en regulering; regelgevers krijgen aanzienlijke bevoegdheden op het gebied van onderzoek en toezicht, waaronder inspecties ter plaatse. De inzet is nu hoger, met het vooruitzicht op boetes van maximaal tien miljoen euro of twee procent van de wereldwijde jaaromzet van een overtredende organisatie, afhankelijk van welk bedrag het hoogst is. Bovendien bevat de NIS2-richtlijn een expliciete verplichting om leden van bestuursorganen persoonlijk aansprakelijk te stellen voor schendingen van hun plicht om te zorgen voor naleving van de NIS2.
De risicobeheermaatregelen die in de richtlijn worden geïntroduceerd, zijn niet verrassend; ze weerspiegelen gangbare best practices. Veel organisaties (met name organisaties die sinds kort onder NIS2 vallen) zullen hun cyberbeveiligingscapaciteiten moeten uitbreiden, maar de vereiste maatregelen zijn niet controversieel of alarmerend. Voor organisaties in deze situatie zijn er verschillende tools, best practices en frameworks die ze kunnen gebruiken.
Gebrek
Het gebruik van AI is geen absolute vereiste binnen NIS2. Dat heeft te maken met een gebrek aan kennis en expertise op dit gebied en/of de onvolwassenheid van de sector. De aanwijzing hiervoor kan in de timing liggen: de voorlopige overeenkomst over de NIS2-richtlijn werd bereikt in mei 2022 – zes maanden voordat ChatGPT en andere opensource generatieve-ai-tools ervoor zorgden dat bredere ai-technologie naar de voorgrond van het publieke bewustzijn werd gestuwd. Als de NIS2-richtlijn vandaag zou worden opgesteld, is het niet vergezocht dat AI veel prominenter zou worden genoemd en misschien zelfs een vereiste zou worden.
NIS2 beveelt echter duidelijk aan dat ‘lidstaten het gebruik van elke innovatieve technologie moeten aanmoedigen, inclusief kunstmatige intelligentie’. Een ander deel spreekt rechtstreeks tot essentiële en belangrijke entiteiten en zegt dat ze ‘hun eigen cyberbeveiligingscapaciteiten moeten evalueren en waar nodig moeten streven naar de integratie van technologieën die de cyberbeveiliging verbeteren, zoals kunstmatige intelligentie of systemen voor machine learning…’
In een van de overwegingen staat dat ‘lidstaten beleid moeten aannemen ter bevordering van actieve cyberbescherming.’ Waarbij actieve cyberbescherming wordt gedefinieerd als ‘het op een actieve manier voorkomen, detecteren, monitoren, analyseren en beperken van inbreuken op de netwerkbeveiliging.’
Evalueren
We kennen nog niet de details over hoe de EU-lidstaten NIS2 in nationale wetgeving zullen omzetten omdat ze nog tot 17 oktober om dit uit te werken. De Commissie zegt ook toe de werking van de richtlijn elke drie jaar te zullen evalueren. Gezien de mate waarin ons algemene begrip en onze waardering voor niet alleen de gevaren van ai, maar ook voor de kracht ervan (misschien zelfs de noodzaak op het gebied van cyberveiligheid) verandert, zullen we wellicht zien dat meer lidstaten essentiële en belangrijke organisaties zullen aansporen, zo niet vereisen, om gebruik te maken van ai.
Pieter Jansen is svp of Cyber Innovation bij Darktrace
