IAM is het onzichtbare fundament is van NIS2

De richtlijn netwerk- en informatiesystemen (NIS) 2 is de nieuwe EU-richtlijn inzake cyberbeveiliging met als doel een hoger niveau van cyberveiligheid in Europa. Op 16 januari treedt de richtlijn in werking en over 2 jaar moet deze vertaald zijn in de wetgeving van de lidstaten. De primaire focus van NIS2 is organisaties in de vitale infrastructuur, maar de doelgroep is aanzienlijk breder vergeleken de eerste NIS (uit 2016).

De definitie van vitale infrastructuur is nu zo breed dat uw organisatie er eerder wel onder valt en impact van heeft, dan niet! En vanuit ons perspectief… Wij ondersteunen NIS2, maar het gaat niet specifiek in op Identity and Access Management. NIS2 noemt alleen kort toegangscontrolebeleid (ISO27000 serie) in sectie 79. En dat is een punt van zorg omdat IAM het onzichtbare fundament is van NIS2. Ik ga daar in dit artikel dieper op in.

Het effect van NIS2 op organisaties

“Optioneel is geen optie meer”, zoals minister van Justitie en Veiligheid Dilan Yeşilgöz Zegerius afgelopen oktober op OneConference in Den Haag zei.

Hier is het, De NIS2-verordening van de EU. Het heeft gevolgen voor de activiteiten van uw organisatie en we verwachten wat dat betreft dat NIS2 een aanzienlijke impact betekent. NIS2 betreft alleen betrekking de zeer kritische en vitale industrie, ook aanverwante sectoren vallen onder de richtlijn.

Het alleen plannen of uitstellen van implementatie van beveiligingscontrole is niet meer voldoende. NIS2 is er nu en stelt dat de implementatie van beveiliging een verantwoordelijkheid is van het C-niveau. Sterker nog, het gaat om de “Verantwoordelijkheid van het bedrijfsmanagement voor de naleving van maatregelen voor risicobeheer op het gebied van cyberbeveiliging”. Het is geen optie om zomaar een Chief Information Security Officer (de CISO, een functie zonder mandaat of budget) aan te wijzen als verantwoordelijke voor de beveiliging. Nee, het is het C-niveau met de mandaten, de raad van bestuur, bestaande uit de CEO en de CFO. De rol van de CISO is om het topmanagement te begeleiden bij het bereiken van een aanvaardbaar niveau van risico- en beveiligingsbeheer, niet om een zondebok te zijn voor de echte belanghebbenden.

Hoe dan ook, op C-niveau is bewustwording van hun rol als verantwoordelijke stakeholders voor beveiliging essentieel (zie whitepaper over strategische afstemming).

De impact van NIS2 op IAM

Identiteitsbeheer en toegangscontrole zijn essentiële onderdelen van informatiebeveiliging. In de internationale beveiligingsbasislijn ISO 27002 wijdt zelfs een heel hoofdstuk aan toegangscontrole. In verschillende hoofdstukken behandelt het specifieke onderwerpen op het gebied van toegangscontrole, zoals fysieke toegangscontrole en in IT-operaties. Maar NIS2 noemt IAM niet specifiek. NIS2 verwijst niet naar Access Governance, Identity Management, joiner-mover-leaver processen of RBAC (Role Based Access Control). Zelfs de digitale identiteitsportefeuille van de EU valt er buiten.

Traditioneel ziet men IAM als een IT-verantwoordelijkheid die de business in staat stelt (meer uitleg in ons Business to IT alignment report). NIS2 verandert dit. Niet in de laatste plaats vanwege een fundamentele verandering in de manier waarop NIS2 de beveiliging behandelt, met name door het concept van de toeleveringsketen aan te pakken. Het supplychain concept betekent dat (bijna) elke organisatie diensten levert aan andere organisaties, maar ook diensten afneemt van andere aanbieders. En zoals we zagen de afgelopen jaren: deze supplychain gevolgen heeft voor de beveiliging. Organisaties kunnen het slachtoffer worden van aanvallen bij hun providers. Beveiligingsincidenten zoals (Non-)Petya en Solarwinds  zijn voorbeelden van deze risico’s.

Beveiligingscontroles beperken zich niet langer tot de organisatie zelf. Organisaties, met name die direct onder NIS2 vallen, zijn niet langer een autonome entiteit. In plaats daarvan vult het een deel in van de hele keten van gebeurtenissen en diensten. Hetzelfde geldt voor het begrip “cloud”. Niet langer is de cloud slechts een onderdeel van netwerk- en computermiddelen, maar een geïntegreerd concept op het gebied van bedrijfsvoering. Niet langer als ‘extern’ behandeld, maar onderdeel van de business. Contracten staan centraal, het gaat niet meer alleen om SLA’s en beschikbaarheid.

Meer controle over meer identiteiten

Wat betekent dit voor IAM? Organisaties moeten straks in control zijn over meer identiteiten dan alleen die van henzelf. Ze moeten omgaan met oneindige aantallen identiteiten (inclusief de identiteit van dingen!) en de complexiteit van het beheer van toegang in de toeleveringsketen aanpakken. Controle is niet langer beperkt tot een Active Directory. Governance is niet alleen ‘wat je ziet, is wat je krijgt’. Het is ook ‘wat je wilt toestaan, is wat je moet beheren’.

De implementatie van gangbare toegangscontroleconcepten zoals rolgebaseerde toegangscontrole (RBAC) moet worden aangepast om te integreren in de toeleveringsketen. Federatie, beheer van het toegangsbeleid en zero trust-concepten moeten aan de beveiligingsgereedschapskist worden toegevoegd. Voor continue authenticatie zijn nieuwe infrastructuur en beleidsbeheer nodig. In NIS2 wordt het concept van continue en multi-factor authenticatie expliciet behandeld – zero trust is the way to go!

Dit betekent ook dat in NIS2 nieuwe manieren van verslaglegging en controle moeten worden toegepast. Controleurs moeten onder ogen zien dat concentratie op relatief eenvoudige traditionele veiligheidscontroles zoals het wachtwoordbeleid en hercertificering van gebruikersaccounts niet langer doeltreffend is.

Vervolgstappen

Hoewel Identity and Access Management nergens in de verordening wordt genoemd, kunt u niet aan NIS2 voldoen als u de toegang niet beheerst. IAM is het onzichtbare fundament van NIS2. Een goed startpunt zou zijn om uw eigen visie op toegang te creëren, uw strategie en stappenplan op te stellen. En neem een bredere kijk op identiteit op, om te voldoen aan NIS2.