Impactstudie CSIRT’s in het kader van de herziening van de NIB-richtlijn
In juni 2022 is er een politiek akkoord bereikt over de herziening van de Europese Netwerk- en Informatiebeveiliging Richtlijn (NIB). Deze herziening wordt gedreven door ontwikkelingen in technologieën, de steeds verregaandere digitalisering, de toenemende afhankelijkheid van informatie- en beveiligingsnetwerken in combinatie met nieuwe en bestaande dreigingen. De nieuwe NIB2-richtlijn behelst een uitbreiding van taken en bevoegdheden voor CSIRT’s ten opzichte van NIB1. De NIB2-richtlijn is niet alleen op meer sectoren van toepassing, maar ook het soort CSIRT-taken is uitgebreid. Het NCSC heeft naar aanleiding van deze herziening de Universiteit Tilburg gevraagd om een impactstudie uit te voeren voor de eigen organisatie en werkzaamheden.
Doel
Het beoogde doel van de studie was om de veranderingen in de eisen en taken van Computer Security Incident Response Teams (CSIRT’s) en ‘good practices’ bij de uitvoering van hun taken evenals de organisatie in kaart te brengen. Hiervoor hebben de onderzoekers zes CSIRT’s uit EU-lidstaten onder de loep genomen, zijnde NCSC in Nederland, CERT.at in Oostenrijk, CERT-FR in Frankrijk, CERT-BUND in Duitsland, CERT-EE in Estland en het Center for Cyber Security in Denemarken.
Resultaten
De belangrijkste resultaten van het onderzoek zijn de volgende:
- Hoe CSIRT-taken worden uitgevoerd verschillen sterk per land, evenals de good practices. Deze good practices worden uitgebreid toegelicht in het bijgevoegde rapport.
- De belangrijkste uitdagingen met de nieuwe NIB2-richtlijn zijn voor de meeste CSIRT’s de opschaalbaarheid van de eigen werkzaamheden, het garanderen van toegang tot CSIRT-diensten voor nieuw aan te sluiten sectoren en organisaties en het coördineren van diverse taken in het nationale stelsel.
- De grootste verschillen per land zijn of ze een gecentraliseerde of meer gedecentraliseerde aanpak hebben met betrekking tot de organisatie van CSIRT-taken in het land, het gebruik van risicogebaseerde of sectorgebaseerde benaderingen voor dreigingen, diverse werkwijzen qua automatisering van portalen voor informatie-uitwisseling, kennisdeling en tools voor proactief scannen van kwetsbare netwerken en organisaties.
- Het vinden en behouden van de benodigde capaciteit en middelen door de uitbreiding van sectoren en organisaties waarop de NIB2-richtlijn van toepassing is, is een uitdaging voor de meeste CSIRT’s. Dit geldt zowel qua personeel als financiën.
- Het creëren en opbouwen van een ecosysteem van vertrouwde CSIRT’s en organisaties kan het nationale CSIRT helpen op te schalen en op die manier ervoor zorgen dat alle sectoren en organisaties waarop de NIB2-richtlijn van toepassing is, toegang hebben tot CSIRT-diensten.
Vervolg
De NIB2-richtlijn zal dit najaar formeel akkoord krijgen na stemming in het Europees Parlement en door de Europese Raad van regeringsleiders. Daarna hebben lidstaten 21 maanden de tijd om de richtlijn om te zetten in nieuwe of bestaande wet- en regelgeving. In Nederland zal hiervoor de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) aangepast worden. Onder leiding van het ministerie van Justitie & Veiligheid zal het NCSC hierbij betrokken zijn. In deze periode zullen keuzes gemaakt worden over hoe de richtlijn geïnterpreteerd zal worden en verwerkt zal worden in onze wetgeving. De resultaten uit dit onderzoek worden meegenomen in dit proces. Het NCSC commniceert tijdens dit traject richting haar huidige en mogelijk toekomstige doelgroepen over relevante zaken.