Crowdstrike en NIS2 - Wat EU-wetgeving echt toevoegt aan jouw risicobeheersing

De twaalfde editie alweer. Een heel jaar elke maand even kort ‘bijpraten’ over compliance, de betekenis maar vooral wat compliance voor jouw organisatie kan betekenen.  Omdat het aantal Engelstalige abonnees ook aan het groeien is, wordt de nieuwsbrief voortaan in het Nederlands en Engels uitgebracht.

In deze editie sta ook ik even stil bij Crowdstrike maar dan vanuit compliance perspectief. Wat is de meerwaarde van EU-wetgeving op dit incident waarbij de wereld erg afhankelijk blijkt te zijn van een enkele leverancier? Deze vraag beantwoord ik op basis van mijn afstudeeronderzoek over art. 21 lid 1 NIS2.

EU-wetgeving

‘EU-wetgeving hanteert van oudsher een rechten gebaseerde aanpak. Het wil zeggen een aanpak of de gegevensverwerking wel of niet voldoet aan de wet. Een rechten gebaseerde aanpak verleent rechten aan een persoon, bijvoorbeeld op basis van overeenkomstenrecht. Deze rechten gebaseerde aanpak verbetert het voldoen aan de verplichtingen van organisaties aan hun klanten omdat een persoon zich kan beroepen op deze rechten uit het overeenkomstenrecht. Een rechten gebaseerde aanpak maakt het voor een persoon makkelijker om zich te kunnen beroepen op een wet ter ondersteuning van diens bezwaar. Dit biedt een persoon rechtszekerheid.

Vanuit een rechten gebaseerde aanpak moeten gegevensbeveiligingseisen uit de betreffende wet op elke gegevensverwerking toegepast worden. Ongeacht of de gegevensverwerking enige gevolgen kan hebben. Met de ontwikkelingen op het gebied van gegevensverwerkingen zoals algoritme, profileringstechnieken en big data is de tendens ontstaan dat een rechten gebaseerde aanpak niet altijd meer kan voldoen.’ (Maas 2024, p. 20-21).

Door deze veranderingen zal een organisatie zelf ook meer de wetgeving in moeten duiken om inzicht te krijgen wat een juiste invulling is van de wet naar de praktijk. Voor NIS2 (maar ook CRE, DSA, DORA) geldt dit net zo. Alleen naar het wetsartikel kijken is niet genoeg.

Voor NIS2 betekent dit dat na alle omzettingen en aanvullende rechtspraak de invulling van deze wet beter begrepen kan worden. Maar voor meerdere lidstaten is dit nog geen optie. NIS2 is bijvoorbeeld nog niet omgezet of rechtspraak ontbreekt. Om NIS2 beter te begrijpen dan is het van meerwaarde om naar concept wetsvoorstellen van andere lidstaten te kijken maar ook naar de overwegingen uit NIS2 zelf. In relatie tot Crowdstrike zijn de volgende uitleg en invullingen te vinden.

Tsjechië hout vanuit overheidsopdrachten rekening met het strategische veiligheidsrisico van leveranciers. Hierbij is een overweging dat ‘vertrouwen in de leverancier met een bevoorrechte positie is belangrijk voor cyberveiligheid. Deze bevoorrechte positie mag niet voor eigen voordeel misbruikt worden, voor de staat die invloed heeft op de leverancier of een andere actor (belanghebbende).De toelichting van het voorstel noemt deze leveranciers riskant en raadt, impliciet, af om met dergelijke leveranciers handel te drijven.’ (Maas 2024, 40). Niet alleen voor overheden maar ook voor organisaties kan deze uitleg van meerwaarde zijn.

‘In ov. 78 gaat het over het beheren van risico’s over de mate waarin de entiteit afhankelijk is van netwerk- en informatiesystemen waarbij de beveiliging van deze systemen ook de beveiliging van de daar opgeslagen, verzonden en verwerkte gegevens omvat. Risico’s worden op een systematische manier geanalyseerd waarbij ook de menselijke factor beoordeeld wordt. Het type entiteit (belangrijk of essentieel) impliceert een mate van afhankelijkheid. Een essentiële entiteit zal afhankelijker zijn van zijn netwerk- en informatiesystemen voor het leveren van zijn diensten dan een belangrijke entiteit vanwege de grotere maatschappelijke en economische gevolgen die een incident kan hebben. In de risico gebaseerde aanpak zal het analyseren en beoordelen van deze afhankelijkheden een plek moeten krijgen.’ (Maas 2024, p. 33).

‘Het afnemen van diensten door leveranciers (uitbesteden of outsourcen) gaat niet zonder risico’s aldus ov. 85 NIS2. Entiteiten moeten ook de risico’s rondom deze uitbestede diensten opnemen in de risico gebaseerde aanpak. De algemene kwaliteit en weerbaarheid van producten en diensten, waaronder ook cyberbeveiligingspraktijken, maken hier onderdeel vanuit. Met leveranciers worden rechtens afdwingbare regelingen getroffen zodat maatregelen die voortvloeien uit de risico gebaseerde aanpak door de entiteit afgedwongen kunnen worden.’ (Maas 2024, p. 34).

‘Overweging 83 NIS2 aan dat maatregelen voor het beheer van risico’s ook van toepassing zijn op het onderhoud van de netwerk- en informatiesystemen dat intern door eigen personeel wordt uitgevoerd of aan een externe partij is uitbesteed. Risico’s rondom onderhoud maar ook de uitbesteding moeten geanalyseerd worden om passende en evenredige maatregelen te nemen. De term uitbesteding geeft aan dat ook leveranciers onderdeel uitmaken van de risico gebaseerde aanpak.’ (maas 2024, p. 34).

Wat te doen?

Tips om nieuwe wetgeving goed te implementeren:

• Lees de wettekst zelf ook door. Markeer overwegingen en artikelen die op het eerste oog het meest relevant zijn.
• Lees aanvullende documenten over de wet zoals een Memorie van Toelichting en andere bijlagen. Deze geven een breder beeld van de bedoeling van die wet en invulling ervan.
• Zoek meerdere passende bronnen. Overweeg bij het lezen de relevantie, auteur (passende kennis), achtergrond en motieven (is er wellicht een commercieel belang?).
• Ben kritisch en vergelijk meerdere bronnen met elkaar. Wat is daaruit de gemene deler? Verifieer zelf de conclusies of aanbevelingen.