Hoe verder met CSIRT’s onder NIS2?
Herinrichting van het CSIRT-stelsel
Op 26 juni 2023 is het eindrapport ‘CSIRT verkenning publiek’ gepubliceerd. Dit rapport bevat de bevindingen voor het herinrichten van het nationale en sectorale CSIRT-stelsel, met aandacht voor de invloed van NIS2 en sectorale cybersecurityrichtlijnen. In deze blog lees je de belangrijkste conclusies en vervolgstappen.
Aanleiding
In Nederland is in de loop der jaren een divers landschap van sectorale Computer Security Incident Response Teams (CSIRT’s) ontstaan om organisaties te helpen bij cyberincidenten. In Nederland zijn de wettelijke verantwoordelijkheden met betrekking tot cybersecurity verdeeld tussen het Nationaal Cyber Security Centrum (NCSC) en het CSIRT voor digitale diensten (CSIRT-DSP), zoals vastgelegd in de Wet beveiliging netwerk- en informatiesystemen (Wbni), de Nederlandse vertaling van de NIS-richtlijn. Het NCSC bedient de nationale en vitale sectoren, zoals de energie-, water- en gezondheidszorgsectoren. En het CSIRT-DSP is specifiek gericht op digitale dienstverleners en digitale diensten binnen de Europese Unie. Dit onderscheid zorgt voor een gespecialiseerde aanpak om zowel de vitale nationale sectoren als digitale dienstverleners te ondersteunen en te beschermen tegen cybersecuritydreigingen.
Binnen Europa is de afgelopen jaren hard gewerkt aan de herziening van de cybersecurityrichtlijn, bekend als de Security of Network and Information Systems Directive (NIS2). Deze richtlijn bevat maatregelen om een hoog gezamenlijk niveau van cybersecurity binnen de Europese Unie te waarborgen en vervangt de eerdere NIS-richtlijn (ofwel de Wbni), die sinds 2016 van kracht is. De NIS2-richtlijn breidt de verplichtingen op het gebied van cybersecurity uit naar meer sectoren en verplicht lidstaten om één of meerdere CSIRT’s op te richten die deze sectoren ondersteunen. Deze NIS2-richtlijn zal worden vertaald naar een nieuwe versie van de Wbni.
Al deze ontwikkelingen waren de aanleiding voor de stuurgroep van het programma Versterkte Aanpak Vitaal (VAV) om een verkenning uit te voeren over dit onderwerp. Het eindrapport ‘CSIRT verkenning publiek’ is het resultaat van deze verkenning, uitgevoerd door de onafhankelijke adviseur Petra Oldengarm.
Wat is een CSIRT?
Een CSIRT, oftewel een Computer Security Incident Response Team, vormt een cruciaal onderdeel van de cybersecurityinfrastructuur van een land of organisatie. Hoewel de term CSIRT een officiële definitie heeft in het kader van NIS, is deze definitie niet van toepassing buiten deze context.
Over het algemeen wordt een CSIRT gezien als een organisatie die zich bezighoudt met cybersecurity-gerelateerde incidenten, zowel in preventieve zin (door incidenten te detecteren en te voorkomen) als in reactieve zin (door ondersteuning te bieden wanneer er zich incidenten voordoen). In de praktijk nemen CSIRT’s vaak een bredere rol op zich dan alleen tijdens cyberincidenten. Het is uiteraard geen probleem dat CSIRT-organisaties ook andere taken op zich nemen. In het rapport ligt echter de nadruk met name op deze CSIRT kerntaken: detectie, analyse en reactie op cyberincidenten. Er is tijdens de verkenning specifiek gekeken naar de rol van nationale CSIRT’s en sectorale CSIRT’s bij het uitvoeren van deze taken.
Het onderzoek
In twee onderdelen
Het rapport presenteert de resultaten van de CSIRT-verkenning naar het herinrichten van het CSIRT-stelsel, rekening houdend met de impact van de NIS2 en sectorale cybersecurityrichtlijnen. In het rapport worden verdiepende vragen behandeld rondom cybersecurity, onderverdeeld in drie hoofdthema’s: taken, taakvolwassenheid en randvoorwaarden. Het analyseert het huidige landschap, inclusief de impact van de NIS2-richtlijn op sectorale CSIRT’s en sectorspecifieke regelgeving. In het tweede deel van het rapport worden diverse ontwikkelingsscenario’s voor het CSIRT-landschap verkend en wordt er een voorkeursscenario gegeven, inclusief aanbevelingen voor vervolgstappen. Deze blog richt zich op de impact van NIS2 op sectorale CSIRT’s en de mogelijke scenario’s.
NIS2-gevolgen voor CSIRT-taken
In december 2022 is de definitieve versie van de Security of Network and Information Systems Directive (NIS2) gepubliceerd. Deze richtlijn, die in oktober 2024 van kracht gaat door implementatie in de Wbni 2.0, heeft als doel een hoog gemeenschappelijk niveau van cybersecurity binnen de Europese Unie te bereiken en stelt strengere eisen aan de cybersecurity van organisaties in EU-lidstaten dan zijn voorganger. Zo bevat de NIS2-richtlijn:
- Verplichte CSIRT-taken
Er zijn nieuwe wettelijke taken toegevoegd, zoals monitoring, analyse, het doen van meldingen en ondersteuning bij incident response. Ook zijn er regie en coördinatietaken gedefinieerd die bijvoorbeeld gaan over het instrumentarium voor informatiedeling en het bevorderen van standaardisatie. Dit instrumentarium kan bestaan uit richtlijnen, protocollen en procedures die ervoor zorgen dat informatie effectief en veilig wordt uitgewisseld. - Eisen aan lidstaten en CSIRT’s
Naast de taken die vereist zijn voor CSIRT’s vanuit de NIS2, worden er ook eisen gesteld. Enerzijds zijn dat eisen die gesteld worden aan de lidstaten, met name gericht op het creëren van de juiste randvoorwaarden. Een belangrijke randvoorwaarde is bijvoorbeeld dat elke lidstaat één of meer CSIRT’s aanwijst. Anderzijds betreft dit eisen aan de CSIRT’s zelf. Zo moeten CSIRT’s o.a. gebruik maken van beveiligde locaties. - Entiteiten onder de NIS2
De NIS2-richtlijn is van toepassing op een grote groep entiteiten, mogelijk meer dan 11.000, wat leidt tot nieuwe wettelijke vereisten voor veel van hen. Dit kan resulteren in het oprichten van sectorale CSIRT’s voor sectoren waar dat nog niet bestaat en een aanzienlijke uitbreiding van de doelgroep voor bestaande sectorale CSIRT’s. Vanaf oktober 2024 moeten de aangewezen CSIRT’s voldoen aan NIS2 en de verplichte taken uitvoeren.
Scenario’s voor het CSIRT-stelsel
Het tweede deel van het rapport richt zich op de basisprincipes van het CSIRT-landschap en de verschillende scenario’s om dit landschap verder te ontwikkelen. Tijdens de verkenningsgesprekken zijn er drie scenario’s (met varianten) verkend. Dit zijn:
- Scenario 1: De huidige situatie zonder wijzigingen voortzetten, waarbij nieuwe wettelijke taken zoveel mogelijk worden geïntegreerd in het al bestaande landschap.
- Scenario 2: Inrichting van een stelsel met meerdere sectorale CSIRT’s met wijzigingen voor wat betreft taakverdeling, governance en toezicht. Hiervoor zijn twee varianten denkbaar:
- Scenario 2a: één nationale CSIRT voor sector-overstijgende taken; alle sectorale CSIRT’s die onder NIS2 vallen voeren dezelfde set taken uit.
- Scenario 2b: één nationale CSIRT voor overstijgende taken; alle sectorale CSIRT’s die onder NIS2 vallen voeren taken naar vermogen uit; wat zij niet kunnen uitvoeren, delegeren ze naar de nationale CSIRT.
- Scenario 3: Alle bestaande sectorale CSIRT’s worden geïntegreerd tot één enkele CSIRT die de wettelijke taken uitvoert voor sectoren die onder de NIS2 vallen.
Om een keuze te maken tussen deze scenario’s, is een analyse uitgevoerd waarbij de drie scenario’s zijn beoordeeld aan de hand van geformuleerde uitgangspunten, zoals: wettelijke kaders, de Nederlandse Cybersecuritystrategie (NLCS), vrijwillige CSIRT’s, complexiteit en juridische haalbaarheid.
Scenariokeuze
Op basis van deze analyse en het beoordelen van de scores, blijkt dat scenario 2a ‘Eén nationale CSIRT voor sector-overstijgende taken; alle sectorale CSIRT’s die onder NIS2 vallen voeren dezelfde set taken uit’, als beste scenario naar voren komt. In de analyse valt op dat dit het enige scenario is dat positief scoort op haalbaarheid en over het geheel genomen geen negatieve scores behaalt. Verder wordt duidelijk dat het eerste scenario, waarbij de wettelijke taken zonder substantiële wijzigingen in het huidige landschap worden geïntegreerd, niet haalbaar is. Scenario 2b en scenario 3 scoren niet goed op enkele belangrijke uitgangspunten.
Omdat de verschillen tussen de scenario’s aanzienlijk zijn en scenario 2a duidelijk als voorkeursscenario naar voren komt, is ervoor gekozen om in het rapport alleen dit scenario in detail uit te werken. Benieuwd? Lees dan in het rapport de uitwerking van het herontwerp van het SCIRT-stelsel (pagina 59).
Vervolgstappen
Het herontwerp schetst de kaders voor het hernieuwde CSIRT-landschap, dat in de praktijk verder moet worden uitgewerkt. Hierbij moeten keuzes worden gemaakt die inzicht geven in hoe voor de korte, maar ook langere termijn het landschap er concreet uit komt te zien, binnen de aangegeven richtlijnen. Zodra er overeenstemming is bereikt over het herontwerp, wordt aanbevolen de volgende stappen te nemen:
- Het definiëren van de juridische context in relatie tot NIS2 en andere sectorspecifieke regelgeving.
- Het waarborgen van CSIRT-ondersteuning voor alle NIS2-doelgroepen.
- Het vaststellen van de taakverdeling tussen nationale en sectorale CSIRT’s.
- Het bepalen van de toekomstige rol van de huidige CSIRT’s binnen het CSIRT-stelsel.
- Het inrichten van de besturing van het stelsel, inclusief governance en toezicht.
- Het koppelen van het landschap aan het Landelijk Dekkend Stelsel.
- Het verbeteren van de onderlinge samenwerking tussen CSIRT’s.
- Het onderzoeken van de toepassing van een kostprijsmodel.
Deze stappen zullen helpen bij de verdere ontwikkeling en implementatie van het vernieuwde CSIRT-landschap.
Voor wat het waard is, deel ik de uitkomst van de analyse en beschouw ik scenario 2a als een logisch en wenselijk scenario. In dit scenario behoudt de Informatiebeveiligingsdienst (IBD) haar taak als sectorale CERT / CSIRT voor alle Nederlandse gemeente en wordt de samenwerking met het NCSC vermoedelijk versterkt. Let’s hope so!
Ben je benieuwd naar alle onderzoeksresultaten? Lees dan hier het hele rapport.
