Hoe een wachtwoordbeheerder NIS2-compliance mogelijk maakt

NIS2 is een uitbreiding van de eerdere EU-richtlijn voor cyberbeveiliging, NIS, die in 2016 werd aangenomen als een reeks vereisten voor het beveiligen van netwerk- en informatiesystemen in de hele EU. NIS2 werd in 2020 geïntroduceerd en trad op 16 januari 2023 in werking.

De richtlijn verplicht bedrijven die zijn aangemerkt als aanbieders van essentiële diensten om passende maatregelen te nemen om de cyberbeveiliging te verbeteren en aan wettelijke verplichtingen te voldoen. NIS2 omvat verschillende organisaties die niet onder de oorspronkelijke richtlijn vielen, waardoor het aantal getroffen sectoren is uitgebreid van 7 naar 15 om nog meer vitale gebieden te beschermen. De lijst met entiteiten die nu onder NIS2 vallen, omvat:

• Energie

• Gezondheidszorg

• Vervoer

• Financiën

• Watervoorziening

• Digitale infrastructuur

• Openbaar bestuur

• Digitale aanbieders

• Postdiensten

• Afvalbeheer

• Ruimtevaart

• Voeding

• Maakindustrie

• Chemische stoffen

• Onderzoek

Daarnaast verscherpt NIS2 de vereisten voor het afdwingen van cyberbeveiliging, bevat het strengere regels voor incidentmelding en legt het zwaardere sancties op bij niet-naleving. Bevoegde autoriteiten spelen een cruciale rol bij het toezicht op naleving en het faciliteren van incidentmelding in vitale sectoren van de economie en samenleving. Volgens de officiële site duurt een typisch NIS2-complianceproces ongeveer 12 maanden, inclusief beveiligingsbeoordelingen, audits, consultancy en de implementatie van tools.

Nu de handhaving in de hele EU versnelt, staan organisaties onder echte druk om hun cyberbeveiligingspositie aan te tonen. Artikel 21 heeft de grootste impact, omdat het gaat over het veilige beheer van inloggegevens; een bepaling waar auditors scherp op letten.

Van alle 45 artikelen in de NIS2-richtlijn is Artikel 21 het artikel waaraan de meeste organisaties de meeste tijd zullen besteden. Het stelt de minimale risicobeheermaatregelen voor cyberbeveiliging vast die alle essentiële en belangrijke entiteiten moeten implementeren en in de praktijk moeten kunnen aantonen.

De richtlijn gebruikt bewust gekozen taal: maatregelen moeten "passend en evenredig" zijn op basis van de omvang van de entiteit, de blootstelling aan risico's en de waarschijnlijkheid en ernst van incidenten. Dit is resultaatgericht, niet voorschrijvend.

Artikel 21(2) noemt tien minimummaatregelen die elke organisatie binnen de reikwijdte moet implementeren:

• (a) Risicoanalyse en beleid voor de beveiliging van informatiesystemen

• (b) Incidentafhandeling

• (c) Bedrijfscontinuïteit — back-upbeheer en disaster recovery

• (d) Beveiliging van de toeleveringsketen

• (e) Beveiliging bij aanschaf, ontwikkeling en onderhoud van netwerk- en informatiesystemen

• (f) Beleid om de effectiviteit van cyberbeveiligingsmaatregelen te beoordelen

• (g) Basispraktijken voor cyberhygiëne en training in cyberbeveiliging

• (h) Beleid voor cryptografie en encryptie

• (i) Beveiliging van personeel, beleid voor toegangscontrole en assetmanagement

• (j) Oplossingen voor multifactorauthenticatie of continue authenticatie

Artikel 21 is resultaatgericht, wat betekent dat auditors niet alleen beleidsdocumenten beoordelen, maar ook verifiëren of beheersmaatregelen operationeel zijn en met bewijs worden onderbouwd. Drie tekortkomingen worden het vaakst gesignaleerd:

• Ontbrekende of inconsistent afgedwongen MFA

  Een beleid voor multifactorauthenticatie (MFA) hebben is niet hetzelfde als MFA afdwingen. Auditors kijken naar handhaving op organisatieniveau, niet naar adoptie door individuele gebruikers.

• Accounts met te veel rechten

  Toegangscontrole onder Artikel 21(2)(i) vereist dat least-privilege-principes worden toegepast en gedocumenteerd.

• Onbeheerde service-inloggegevens

  API-sleutels, wachtwoorden van serviceaccounts en gedeelde inloggegevens die buiten elk beheerd systeem bestaan, zijn een terugkerende bevinding bij audits.

De rode draad: auditors controleren of beveiliging wordt beheerd als een herhaalbaar en aantoonbaar proces.

Het grootste probleem met de oorspronkelijke NIS was dat deze te breed en te vaag was en geen haalbare handhavingsmogelijkheden had.

Tegenwoordig zijn de sancties voor niet-naleving aanzienlijk: essentiële entiteiten riskeren boetes tot € 10 miljoen of 2% van de wereldwijde jaaromzet; belangrijke entiteiten tot € 7 miljoen of 1,4%.

In de begindagen van COVID schakelden veel bedrijven in de EU over op werken op afstand, en al snel werd duidelijk dat de oorspronkelijke NIS niet effectief was in het behalen van de gestelde doelen.

Auditors die naleving van Artikel 21 beoordelen, lezen beleidsdocumenten niet op zichzelf. Ze zoeken bewijs dat controles in de hele organisatie worden afgedwongen, consistent zijn en zijn gedocumenteerd. De drie vaakst gesignaleerde hiaten — inconsistente MFA-handhaving, accounts met te veel rechten en onbeheerde referenties — zijn ook precies de hiaten die een wachtwoordbeheerder het beste kan dichten.

Bitwarden stelt organisaties in staat om tweestapslogin in de hele organisatie verplicht te stellen via beleidscontroles voor ondernemingen. Bitwarden integreert ook met Duo voor centrale MFA-handhaving en monitoring. Daarnaast bevatten kluisstatusrapporten een rapport over inactieve 2FA waarin alle opgeslagen referenties worden uitgelicht waarbij geen TOTP-seed is opgenomen.

Op rollen gebaseerde toegangscontroles, machtigingen op collectieniveau en beleid voor gebruikersgroepen stellen beheerders in staat om het least-privilege-principe toe te passen op elke referentie in de organisatie. Organisatie-eigenaren kunnen ook collectie-instellingen wijzigen om beheerderstoegang tot gedeelde referenties te beperken, zodat zelfs rollen met verhoogde rechten geen onbeperkt zicht hebben op gevoelige referenties.

Wachtwoorden van serviceaccounts en gedeelde referenties die in spreadsheets, e-mailthreads of persoonlijke kluizen staan, vormen een blinde vlek waar auditors specifiek naar zoeken. Bitwarden brengt deze onder in een beheerde, auditeerbare omgeving waarin toegang wordt gecontroleerd, gelogd en ingetrokken kan worden. Bitwarden Secrets Manager biedt ook centrale beveiligingscontrole voor API-sleutels.

De gebeurtenislogboeken van de Bitwarden-beheerdersconsole leggen vast wie welke referenties heeft geopend, wanneer en vanaf waar. Integraties met SIEM-tools of het gebruik van API-sleutels maken het mogelijk deze gebeurtenissen op te nemen en te verwerken samen met andere gebeurtenismonitoring in de bedrijfsinfrastructuur.

Bitwarden versleutelt gegevens aan de clientzijde voordat ze het apparaat van de gebruiker verlaten. Dankzij de zero-knowledge-architectuur en open-source codebase kan de implementatie van versleuteling onafhankelijk worden geverifieerd. Versleuteling wordt duidelijk gedocumenteerd in het Bitwarden-beveiligingswhitepaper.

Voor organisaties met strikte vereisten voor gegevensresidentie biedt Bitwarden een speciale EU-cloudservice en een implementatieoptie voor self-hosting waarbij gegevens volledig binnen je eigen infrastructuur blijven.

Organisaties kunnen referenties delen met leveranciers via de functies voor veilig delen van Bitwarden Send of door RBAC te gebruiken en een contractant tijdelijk te onboarden. Wanneer een leveranciersrelatie eindigt, wordt de toegang via het platform ingetrokken.

Een wachtwoordbeheerder ondersteunt rechtstreeks een beveiligingscultuur door sterke, unieke wachtwoorden voor elke gebruiker de weg van de minste weerstand te maken. Daarnaast ontvangen zakelijke Bitwarden-gebruikers ook een gratis Families-account zodat ze ook thuis goede beveiligingsgewoonten kunnen toepassen.

De handhaving van NIS2 versnelt in de hele EU, en Artikel 21 legt een duidelijke lat: controles moeten worden geïmplementeerd, afgedwongen en aantoonbaar gemaakt. Organisaties die een kritische audit zullen doorstaan, zijn organisaties die toezichthouders een gedocumenteerde en operationele beveiligingspositie kunnen tonen, referentie voor referentie.

Bitwarden biedt organisaties beide kanten van die vereiste. Beleidscontroles voor ondernemingen dwingen MFA, toegangsrechten en least-privilege-principes af voor elke gebruiker. Gebeurtenislogboeken van de beheerdersconsole en SIEM-integraties creëren de audittrail die bewijst dat deze controles werken. En als open-source platform met EU-cloud en implementatieopties voor self-hosting ondersteunt Bitwarden de vereisten voor datasoevereiniteit van EU-organisaties.

Compliance hoeft geen lang, duur infrastructuurproject te zijn. Een wachtwoordbeheerder is een van de snelste manieren om de hiaten in referenties te dichten waar auditors op controleren en om het bewijsdossier op te bouwen dat ze willen zien.

Ga vandaag nog aan de slag met een gratis proefversie van Bitwarden Business.

Wat is NIS2?

NIS2 legt de nadruk op processen voor risicobeheer op het gebied van cyberbeveiliging, die bedoeld zijn om bedrijven te verplichten maatregelen te nemen om cyberdreigingen te voorkomen of te beperken. Het omvat risico's en maatregelen met betrekking tot AI, waaronder cyberbeveiligingstests, documentatie en mitigatiestrategieën.

Wat is het verschil tussen NIST en NIS2?

In tegenstelling tot NIS2 bevat het NIST Cyber Security Framework geen uitvoerbare lijst. Het gebruik van een NIST-specifiek framework voor cyberweerbaarheid kan organisaties helpen zich effectief voor te bereiden op naleving van de richtlijn voor informatiebeveiliging.

Wat is de uitvoeringshandeling van NIS2?

De NIS2-richtlijn omvat nu middelgrote en grote publieke en private entiteiten in meer kritieke sectoren voor cyberweerbaarheid.

Wat zijn de netwerk- en informatiesystemen van NIS2?

NIS2 legt als EU-brede wetgeving de nadruk op processen voor risicobeheer op het gebied van cyberbeveiliging, ontworpen om de uitdaging van het veranderende cyberdreigingslandschap aan te gaan. Het ontwerp vereist dat bedrijven maatregelen nemen om cyberdreigingen te voorkomen of te beperken. Het omvat risico's en maatregelen met betrekking tot AI, waaronder cyberbeveiligingstests, documentatie en mitigatiestrategieën.

NIS2 omvat veel meer organisaties die geen deel uitmaakten van de oorspronkelijke NIS-richtlijn. Dit omvat aanbieders van essentiële diensten binnen kritieke sectoren zoals gezondheidszorg, energie en transport. De Europese Unie streeft ernaar cyberbeveiligingsmaatregelen en -praktijken in haar lidstaten te harmoniseren.

Ook maakt de richtlijn bij het vaststellen van vereisten onderscheid tussen essentiële en belangrijke entiteiten.