De Europese Netwerk- en Informatiebeveiliging Richtlijn (NIB) is herzien. De nieuwe NIB2-richtlijn behelst een uitbreiding van taken en bevoegdheden voor CSIRT’s ten opzichte van NIB1. Het NCSC heeft naar aanleiding van deze herziening de Universiteit Tilburg gevraagd om een impactstudie uit te voeren voor de eigen organisatie en werkzaamheden.

Een politiek akkoord over de herziening van de NIB is in juni 2022 bereikt. Aanleiding hiervoor zijn ontwikkelingen in technologieën, de toenemende digitalisering, groeiende afhankelijkheid van informatie- en beveiligingswerken in combinatie met nieuwe en bestaande dreigingen. De NIB2-richtlijn breidt onder meer de taken en bevoegdheden van CSIRT’s uit ten opzichte van NIB1.

De impactstudie die door de Universiteit Tilburg is uitgevoerd kent als doel het in kaart brengen van de veranderingen in de eisen en taken van Computer Security Incident Response Teams (CSIRT’s) en ‘good practices’ bij de uitvoering van hun taken evenals de organisatie. De onderzoekers namen zes CSIRT’s uit EU-landen onder de loep: NCSC in Nederland, CERT.at in Oostenrijk, CERT-FR in Frankrijk, CERT-BUND in Duitsland, CERT-EE in Estland en het Center for Cyber Security in Denemarken.

De belangrijkste resultaten van het onderzoek zijn:

• Hoe CSIRT-taken worden uitgevoerd verschillen sterk per land, evenals de good practices. Deze good practices worden uitgebreid toegelicht in het bijgevoegde rapport.
• De belangrijkste uitdagingen met de nieuwe NIB2-richtlijn zijn voor de meeste CSIRT’s de opschaalbaarheid van de eigen werkzaamheden, het garanderen van toegang tot CSIRT-diensten voor nieuw aan te sluiten sectoren en organisaties en het coördineren van diverse taken in het nationale stelsel.
• De grootste verschillen per land zijn of ze een gecentraliseerde of meer gedecentraliseerde aanpak hebben met betrekking tot de organisatie van CSIRT-taken in het land, het gebruik van risicogebaseerde of sectorgebaseerde benaderingen voor dreigingen, diverse werkwijzen qua automatisering van portalen voor informatie-uitwisseling, kennisdeling en tools voor proactief scannen van kwetsbare netwerken en organisaties.
• Het vinden en behouden van de benodigde capaciteit en middelen door de uitbreiding van sectoren en organisaties waarop de NIB2-richtlijn van toepassing is, is een uitdaging voor de meeste CSIRT’s. Dit geldt zowel qua personeel als financiën.
• Het creëren en opbouwen van een ecosysteem van vertrouwde CSIRT’s en organisaties kan het nationale CSIRT helpen op te schalen en op die manier ervoor zorgen dat alle sectoren en organisaties waarop de NIB2-richtlijn van toepassing is, toegang hebben tot CSIRT-diensten.

Het Europees Parlement en de Europese Raad moeten nog akkoord gaan met de NIB2, wat naar verwachting dit najaar plaatsvindt. Daarna hebben EU-lidstaten 21 maanden de tijd voor het omzetten van de richtlijn in nieuwe of bestaande wet- en regelgeving. In Nederland betekent dit concreet dat de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) wordt aangepast, waarbij onder leiding van het ministerie van Justitie en Veiligheid het NCSC betrokken is.

Petra Claessen, CEO van BTG en BTG Services: “De impactstudie van de Universiteit Tilburg geeft goed zicht op de wijzigingen in NIB2 ten opzichte van NIB1. Denk hierbij aan een uitbreiding van het takenpakket van CSIRT’s, maar ook aan uitdagingen die de nieuwe NIB2-richtlijn met zich meebrengt. Ook blijkt dat er flinke verschillen zijn tussen EU-lidstaten, onder meer als het gaat om de organisatie van CSIRT-taken en het gebruik van risicogebaseerde of sectorgebaseerde benaderingen voor dreigingen. Denk echter ook aan verschillende werkwijzen rondom de automatisering van portalen voor informatie-uitwisseling, kennisdeling en tools voor proactief scannen van kwetsbare netwerken en organisaties. De NIB2 helpt bij het naar een hoger niveau tillen van de digitale veiligheid van Nederland.”

Meer informatie over de impactstudie is hier beschikbaar.