Als digitaal betrokken onderneming en deelnemer aan de Digital Trust Community treft GreenLeap Consultancy regelmatig onderwerpen waar een informatiejunk wel raad mee weet. Een zo’n pakkend item is de NIS2 richtlijn, voluit bekend als de Network and Information Security Directive. De tweede versie van deze Europese richtlijn ziet toe op de verhoogde cyberweerbaarheid van lidstaten en legt extra nadruk op de positie van overheidsorganisaties en ketenveiligheid van digitale toeleveranciers, wat de richtlijn interessant maakte voor een verdiepingsslag1. Ook voor GreenLeap is het namelijk belangrijk om tijdig te reageren op ontwikkelingen in binnen- en buitenland.
[TLDR: door de cyberbeveiligingswet krijgen ondernemers meer houvast op de digitale prestaties van hun bedrijfsmiddelen. Procedures van leveranciers dienen meer robuust te worden ingericht en aan extra voorwaarden te voldoen. Met een volwassen aanspreekcultuur en Proton dienstverlening kun je deze transitie versnellen.]
Tegen het eind van 2025 verankert de Cyberbeveiligingswet de Europese NIS2 richtlijn in Nederlandse wetgeving. Hoewel de wetgeving op dit moment dus nog niet van kracht is, betekent deze wel iets voor de dagelijkse werkzaamheden. Het is dus slim om te bekijken welke kans de richtlijn biedt om zakelijke bedrijfsvoering te verstevigen. Een bekende uitspraak is immers dat beveiliging afhankelijk blijft van de zwakste schakel.
Ook voor MKB’ers en zelfstandig professionals buiten de IT sector is NIS2 relevant, want elke onderneming maakt deel uit van een omvangrijk cybernetwerk. Denk maar aan het indienen van omzetbelasting, een subsidieaanvraag bij de Rijksdienst voor Ondernemend Nederland of het updaten van elektronische apparatuur. Digitale tussenpartijen spelen ook een rol in de communicatie met zakenpartners, welke vaak Customer Relationship Management (CRM) software gebruiken die gevoelige bedrijfsgegevens kan bevatten. De kans dat zulke services worden gehackt, blijft een factor voor je cyberstrategie.
“Bedrijven zijn sterk afhankelijk van de producten of diensten van toeleveranciers. Een hack heeft daarom niet alleen invloed op het bedrijf in kwestie, maar kan ook grote gevolgen hebben voor organisaties waarmee het (digitaal) verweven is.” (Federatie van Technologiebranches)2
Op landelijk niveau is het toezicht op toeleveranciersketens belegd bij de Rijksinspectie Digitale Infrastructuur (RDI)3. Deze inspectiedienst brengt niet enkel software en digitale afhankelijkheden in kaart, maar ook fysieke schakels zoals de kilometers aan datakabels onder onze voeten en drones voor hobby- en bedrijfsmatig gebruik. Er is dus een flink speelveld waarbinnen ondernemers verschillende plichten hebben.
Als waarborg voor een coöperatieve houding binnen dat systeem promoot de NIS2 een sterkere aanspreekcultuur tussen lidstaten en marktpartijen. Hierbij vormt security-by-design het uitgangspunt wanneer sectorspecifieke richtlijnen tekortschieten. Samen met een krachtiger systeem van toezicht en handhaving, inclusief harmonisatie van sancties, geeft de NIS2 zo meer aandacht aan de gedeelde verantwoordelijkheid4.
De aanspreekcultuur in het digitale domein was al zichtbaar bij enkele Small Business Innovation Research (SBIR) programma’s en de vlotgetrokken informatiedeling via de Wet beveiliging netwerk- en informatiesystemen (Wbni, 2022)5. Ook het Digital Trust Center werkt mee aan gedeelde normenkaders en voorziet beveiligingsonderzoekers, internationale partners en ondernemers van een centraal loket voor dreigingsinformatie6. Hiernaast functioneert het Nationaal Cyber Security Centrum als waakvlam voor gezamenlijke capaciteitsdeling en nationale cyberweerbaarheid.
Wanneer zulke belangrijke organisaties de publieke en commerciële actoren met elkaar verbinden, lijkt er al sprake van een professionele risicoduiding en bewaking van de ketenveiligheid. Er gelden naast de regie op deze publieke gebruiksruimte namelijk ook sinds 2019 al extra plichten vanuit de Baseline Informatiebeveiliging Overheid (BIO7), wat de triade van confidentialiteit, integriteit en authenticiteit nogmaals versterkt. Toch vult de NIS2 richtlijn de bestaande regels nog verder aan en beïnvloedt deze opnieuw het afsprakenstelsel waar zowel commerciële entiteiten als het Rijk aan moeten voldoen.
Deze aandacht voor ketenveiligheid versterkt de rol van bestaande spelers. In 2010 werd eHerkenning opgericht voor een betrouwbare dienstverlening tussen overheden en bedrijven, zekerheid over de online identiteit van zakenpartners en het voldoen aan eisen uit de Wet Digitale Overheid8. Dit publiek private samenwerkingsverband heeft meerdere betrouwbaarheidsniveaus en een handvol aanbieders. Deze zijn onder de Electronic Identification And Trust Services (eIDAS) verordening geregistreerd als elektronische vertrouwensdiensten, waarmee ze moeten voldoen aan richtlijnen uit het Afsprakenstelsel Elektronische Toegangsdiensten9. Aanbieders van eHerkenning worden onder de NIS2 richtlijn nu ook aangemerkt als essentiële entiteiten, wat op die plichten voortbouwt.
De vele aandacht is terecht omdat de eHerkenning afsprakenstelsels toezien op de gegevensbescherming en privacy van meer dan één miljoen actieve gebruikers, met Logius als aangewezen beheerder van dit stelsel10. Met ruim 75.000 inlogacties per dag zijn de vertrouwelijke gegevensuitwisseling met overheidsdiensten, inspectoraten en marktpartijen dus hopelijk goed beveiligd tegen kwetsbaarheden.
Een groot deel van de procedurele veiligheid wordt al ondervangen door de verschillende betrouwbaarheidsniveaus van eHerkenning11. Deze waarborgen de naleving van strikte Levels of Assurance en vanaf niveau 3 gebeurt de verificatie tijdens het bestelproces dan ook letterlijk bij je op de stoep. Dat de toekenning van missiekritische inlogmiddelen gebonden is aan een sterke controle geeft aan dat eHerkenning aanbieders zorgvuldig invulling geven aan hun verantwoordelijkheden.
Vanaf juli 2024 voerden diverse aanbieders van eHerkenning een actievere communicatie over tweefactorauthenticatie (2FA) om aan de veiligheidseisen en uitgebreide ‘Mapping NIS 2 en NEN-EN-ISO/IEC 27002 (nl) / BIO’ te voldoen12. Vanaf betrouwbaarheidsniveau EH2 is 2FA sinds 2024 verplicht. Toch wordt al langer gewezen op tekortkomingen in de tweefactorauthenticatie die verschillende leveranciers hierbij als default aanbieden. Een groot aantal aanbieders maakt hiervoor nog gebruik van SMS terwijl deze wijze van implementatie mogelijk niet voldoende is voor een versterkte digitale dienstverlening onder de Cyberbeveiligingswet en NIS2 regeling13.
Bron: eHerkenning Nieuwsberichten12
Het gesprek over mogelijke tekortkomingen van tweefactorauthenticatie en eisen van de Cyberbeveiligingswet staan niet op zichzelf. Voortschrijdend inzicht en aangescherpte afsprakenkaders zorgen ervoor dat het discours steeds vaker aansluit bij aanpalend beleid zoals de Digital Operational Resilience Act, welke financiële instellingen vanaf 17 januari 2025 verplicht tot een sterkere grip op IT-risico’s14. Er zijn voor eHerkenning aanbieders dus voldoende redenen om een transitiepad te volgen.
“Sinds januari 2023 is de Digital Operational Resilience Act (DORA) van kracht. DORA is een Europese verordening met als doel dat financiële organisaties hun IT-risico’s beter gaan beheersen en daarmee weerbaarder worden tegen cyberdreigingen. Er is namelijk sprake van een scheefgroei tussen de toenemende IT-dreiging en de ontwikkeling van de weerbaarheid.” (Autoriteit Financiële Markten)15
Toch botsen de goede adviezen van IT-specialisten wel eens met de praktijk. Zo riep Logius in 2023 nog op tot gebruik van SMS als manier van multi-factorauthenticatie (MFA)16, terwijl het Amerikaanse National Institute of Standards and Technology de authenticatie via SMS al sinds 2016 als een deprecated technology beoordeelt en pleitte voor uitfasering17. Ook het Digital Trust Center ziet de SMS methode als onveilige implementatie van multi-factorauthenticatie en raad het gebruik af vanwege risico’s op een gerichte aanval18. Hoewel initiatieven zoals Mobile Connect19 dit beeld wat nuanceren, levert het gebruik van SMS wel bedenkingen op.
Bron: Digital Trust Center18
Organisaties die een SMS authenticatie als standaard inlogmethode hanteren of barrières opwerpen richting meer moderne vormen van tweefactorauthenticatie sluiten dus niet volledig aan op de best practices in het vakgebied. SMS wordt nog toegestaan binnen de Authenticatierichtlijnen voor aanbieders van eHerkenning20, maar dat dit bezwaren opwekt vanuit de cybercommunity is voldoende helder. Zeker van geregistreerde toegangspoorten tot overheidsdiensten verwachten ondernemers dat de beveiliging op niveau is en overeenkomt met middelen die in het publieke domein al de standaard zijn.
“OOB [out of band verification] using SMS is deprecated, and will no longer be allowed in future releases of this guidance.” (National Institute of Standards and Technology, 2016)21
Omdat toeleveranciers ook voor de Cyberbeveiligingswet moeten bewijzen dat zij veilige tweefactorauthenticatie en multi-factorauthenticatie aanbieden, zijn twijfels rondom de inzet van SMS dus een belangrijk discussiepunt. Voor een robuuste dienstverlening binnen een verraderlijk cyberlandschap maken namelijk niet alleen confidentialiteit, integriteit en authenticiteit maar ook moderniteit een doorslaggevend verschil.
In 2021 speelde dit onderwerp ook binnen de landelijke politiek. De staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties bepleitte via Kamerstuk 26643-750 dat de uitfasering van SMS noodzakelijk werd geacht, maar nog zeker 3 jaar kon duren22. Een deelverklaring hiervoor is de backwards compatibility, waarmee het uitfaseren van verouderde standaarden geen uitsluitingsmechanisme mag vormen voor doelgroepen zonder smartphone of authenticatie app. Op technisch vlak is modernisering immers een nobel streven, maar informatiebeveiliging en digitale toegankelijkheid vragen om balans.
Hoewel een tweefactorauthenticatie via SMS dus voorlopig niet uit beeld verdwijnt, zoeken cybervaardige ondernemers wel naar middelen die beter bij hun bedrijfsvoering passen. Een authenticatie via app heeft daarbij steeds vaker de voorkeur. Omdat de uitfasering van SMS past binnen een transitiepad van de Cyberbeveiligingswet zijn nieuwere methodes dus welkom.
Het Digital Trust Center geeft al het goede voorbeeld door tweefactorauthenticatie via een zelf gekozen app te faciliteren. Het lijkt dat commerciële partijen minstens over diezelfde capaciteit beschikken, want met 1/6e marktaandeel per eHerkenning aanbieder ontstaat een meer dan redelijke verwachting tot moderne vormen van multi-factorauthenticatie. Het gebruik van een deprecated technology geeft met de aanstaande Cyberbeveiligingswet in ieder geval geen beste indruk.
De aanspreekcultuur van de NIS2 en Cyberbeveiligingswet passen goed bij de tijdsgeest omdat ook bedrijfsverzekeringen vragen om strengere cybermaatregelen. Het default gebruik van SMS als multi-factorauthenticatie lijkt daardoor toch een gevarenzone op te zoeken. Als ondernemer kun je hierop invloed uitoefenen door jouw eHerkenning aanbieder te vragen naar het gebruik van moderne opties tot multi-factorauthenticatie.
In 2025 zullen er diverse eHerkenning aanbieders zijn welke tweefactorauthenticatie apps ondersteunen. Voor dit blog is gesproken met een woordvoerder van Reconi en deze aanbieder lanceert binnenkort al de mogelijkheid om in te loggen via een 2FA app.
Wil je als ondernemer niet alleen wachten op je omgeving, maar ook zelf stappen zetten in je cyberveiligheid, overweeg dan het gebruik van proton services. GreenLeap Consultancy heeft ervaren dat een zakelijk aansluiting op je eigen domeinnaam prima kan worden ingeregeld door je digitale dienstverlener. Ook wanneer je een bestaand abonnement wilt koppelen dan is dit achteraf goed mogelijk.
Bij het volgen van onze partnerlinks naar Proton AG geef je toestemming voor het gebruik van de Proton AG tracking cookie. Deze heeft als doel de commissie te herleiden tot GreenLeap Consultancy en wordt verder niet door GreenLeap Consultancy bewaard. (hint: gebruik je een AdBlocker, dan zie je hierboven waarschijnlijk geen afbeeldingen)
GreenLeap Consultancy maakt er een punt van om partners te selecteren op basis van de bedrijfsmissie en principes achter hun productaanbod. Kies je voor de middelen die op onze website verschijnen, dan heeft GreenLeap Consultancy hier een redelijk vertrouwen in. Een cyberadvies is echter een vak apart en daarom introduceert dit blogartikel slechts enkele aspecten van de NIS2 en Cyberbeveiligingswet. Wil je een totaalaanpak voor de zakelijke omgeving, raadpleeg dan allereerst je Chief Information Security Officer (CISO).
Disclaimer: Dit blogartikel is bedoeld ter informatie en niet als juridisch of beleidskundig advies. Voorafgaand aan publicatie is een zorgvuldige verkenning uitgevoerd en contact gelegd met verschillende ministeries, publieke organisaties en private partijen. Toch is het duidelijk dat de inzichten rondom de plichten uit de NIS2 richtlijn en Cyberbeveiligingswet van elkaar verschillen. Momenteel is hierop geen sluitend oordeel beschikbaar. Ook het SS7 protocol23 en SigInt vraagstukken zijn niet expliciet behandeld omwille van leesbaarheid. GreenLeap Consultancy wijst alle claims rondom geleden schade als gevolg van handelen naar deze publicatie dan ook nadrukkelijk van de hand. Inhoudelijke opmerkingen zijn altijd welkom via sander@greenleap-consultancy.nl
Neem nu contact met ons op of plan een afspraak in. Wij nemen daarna zo spoedig mogelijk contact met u op.