Moet NIS2 niet op industrie gericht zijn?

Hackers zetten de veiligheid van onze maatschappij en economie steeds meer onder druk. De kans op een brand is 1:8.000 en de kans op een cyberaanval is 1:5 (bron: Rabobank). Daarom wordt over een jaar de nieuwe Europese NIS2 regelgeving van kracht. Het verplicht bedrijven cybersecurity serieus te nemen.

Robert Haerkensis eigenaar van Code54.Meer van deze auteur

Op een conferentie voor IT’ers vertelde een securitybedrijf hoe eenvoudig het is om een bedrijf te hacken. Het had bij een klant een foodtruck voorgereden en deelde gratis lunch uit, in ruil voor het invullen van een enquête die op een USB-stickje stond. Binnen enkele uren waren ze niet alleen binnen bij hun doelwit, maar ook bij het merendeel van de andere bedrijven op het bedrijventerrein. Er werd gezucht onder de IT’ers in het publiek: ”Hoe kunnen mensen zo naïef zijn?”

De oplossing is niet zo simpel. Bedrijven moeten resilient worden door een combinatie van security-producten en procedures. En natuurlijk training, want: “Als Truus, op de administratie, op elk linkje blijft klikken komt het natuurlijk nooit goed.” Er werd gelachen. Zo herkenbaar, die Truus.

Maar laten we even pauzeren. Want het is anno 2023 en nu kan Truus, van de administratie, dus in haar eentje het hele bedrijf een faillissement in storten, door op een fout linkje te klikken? Of USB-stick in haar pc te steken? Hoe heeft het zover kunnen komen?

Ik weet dat ik vanwege de veiligheid mijn telefoon in een vliegtuig op vliegtuigmodus moet zetten, maar ik ben er vrij zeker van dat ik het vliegtuig niet kan laten neerstorten als ik het vergeet. En als dat wél kon, zou de vliegindustrie geen telefoons aan boord toelaten. Dit is niet helemaal eerlijk tegenover Truus.

Is het toch ook niet een probleem dat de industrie zelf heeft gecreëerd? Dat het werkt zoals het werkt, zijn keuzes geweest. Zoals Apple heeft gekozen om alle apps in de AppStore handmatig te controleren en het ecosysteem gesloten te houden. En Google met Android niet.

Moet NIS2 niet meer op de industrie gericht worden? Verplicht de fabrikanten om hun producten veilig te maken, zoals een autofabrikant verplicht ABS, gordels en een derde remlicht moet inbouwen. We leveren misschien wat functionaliteit in, maar mail kan net zo veilig zijn als een fax, de meeste bedrijven hoeven via internet niet vanuit China of Rusland bereikbaar te zijn en veiligheid, zoals een back-up, MFA, of logging, zou nooit als losse toevoeging verkocht mogen worden.