Hoe een wachtwoordbeheerder NIS2-compliance mogelijk maakt

NIS2 is een uitbreiding van de eerdere EU-cyberbeveiligingsrichtlijn, NIS, die in 2016 werd aangenomen als een reeks vereisten voor het beveiligen van netwerk- en informatiesystemen in de EU. NIS2 werd in 2020 geïntroduceerd en trad op 16 januari 2023 in werking.

De richtlijn verplicht bedrijven die zijn aangemerkt als aanbieders van essentiële diensten om passende maatregelen te nemen om de cyberbeveiliging te verbeteren en aan wettelijke verplichtingen te voldoen. NIS2 omvat verschillende organisaties die geen deel uitmaakten van de oorspronkelijke richtlijn, waardoor de getroffen sectoren worden uitgebreid van 7 naar 15 om nog meer vitale gebieden te beschermen. De lijst met entiteiten die onder NIS2 vallen, omvat nu:

• Energie

• Gezondheid

• Vervoer

• Financiën

• Watervoorziening

• Digitale infrastructuur

• Openbaar bestuur

• Digitale aanbieders

• Postdiensten

• Afvalbeheer

• Ruimtevaart

• Voedingsmiddelen

• Productie

• Chemische stoffen

• Onderzoek

Daarnaast verhoogt NIS2 de eisen voor het afdwingen van cyberbeveiliging, bevat de richtlijn strengere regels voor incidentmelding en kent zij zwaardere sancties bij niet-naleving. Bevoegde autoriteiten spelen een cruciale rol bij het toezicht op naleving en het faciliteren van incidentmeldingen in vitale sectoren van de economie en samenleving. Volgens de officiële site duurt het typische NIS2-complianceproces ongeveer 12 maanden, inclusief beveiligingsbeoordelingen, audits, advies en implementatie van tools.

Nu de handhaving in de hele EU versnelt, staan organisaties onder echte druk om hun cyberbeveiligingspositie aan te tonen. Artikel 21 heeft de grootste impact, omdat het betrekking heeft op het veilig beheer van inloggegevens; auditors onderzoeken deze bepaling nauwkeurig.

Van alle 45 artikelen in de NIS2-richtlijn is Artikel 21 het artikel waaraan de meeste organisaties de meeste tijd zullen besteden. Het legt de minimale risicobeheersmaatregelen voor cyberbeveiliging vast die alle essentiële en belangrijke entiteiten moeten implementeren en in de praktijk moeten kunnen aantonen.

De richtlijn gebruikt bewuste formuleringen: maatregelen moeten “passend en evenredig” zijn op basis van de omvang van de entiteit, de blootstelling aan risico’s en de waarschijnlijkheid en ernst van incidenten. Dit is resultaatgericht, niet voorschrijvend.

Artikel 21(2) noemt tien minimale maatregelen die elke organisatie binnen de scope moet implementeren:

• (a) Risicoanalyse en beleid voor de beveiliging van informatiesystemen

• (b) Incidentafhandeling

• (c) Bedrijfscontinuïteit — back-upbeheer en disaster recovery

• (d) Beveiliging van de toeleveringsketen

• (e) Beveiliging bij aanschaf, ontwikkeling en onderhoud van netwerk- en informatiesystemen

• (f) Beleid om de effectiviteit van cyberbeveiligingsmaatregelen te beoordelen

• (g) Basispraktijken voor cyberhygiëne en training in cyberbeveiliging

• (h) Beleid voor cryptografie en versleuteling

• (i) Beveiliging van personeelszaken, beleid voor toegangsbeheer en assetmanagement

• (j) Multifactorauthenticatie of oplossingen voor continue authenticatie

Artikel 21 is resultaatgericht, wat betekent dat auditors niet alleen beleidsdocumenten beoordelen, maar ook verifiëren of controles operationeel zijn en met bewijs worden onderbouwd. Drie tekortkomingen worden het vaakst gesignaleerd:

• Ontbrekende of inconsistent afgedwongen MFA

  Een beleid voor multifactorauthenticatie (MFA) hebben is niet hetzelfde als MFA afdwingen. Auditors zoeken naar afdwinging op organisatieniveau, niet naar adoptie door individuele gebruikers.

• Accounts met te veel rechten

  Toegangsbeheer onder Artikel 21(2)(i) vereist dat least-privilege-principes worden toegepast en gedocumenteerd.

• Onbeheerde service-inloggegevens

  API-sleutels, wachtwoorden van serviceaccounts en gedeelde inloggegevens die buiten elk beheerd systeem bestaan, zijn een terugkerende auditbevinding.

De rode draad: auditors controleren of beveiliging wordt beheerd als een herhaalbaar, aantoonbaar proces.

Het grootste probleem met de oorspronkelijke NIS was dat deze te breed en te vaag was en geen haalbare handhavingsmogelijkheden bood.

De boetes voor niet-naleving zijn inmiddels aanzienlijk: essentiële entiteiten riskeren boetes tot € 10 miljoen of 2% van de wereldwijde jaaromzet; belangrijke entiteiten tot € 7 miljoen of 1,4%.

In de begindagen van COVID schakelden veel bedrijven in de EU over op werken op afstand en werd al snel duidelijk dat de oorspronkelijke NIS-richtlijn niet voldeed aan de gestelde doelen.

Auditors die naleving van artikel 21 beoordelen, lezen beleidsdocumenten niet afzonderlijk. Ze zoeken bewijs dat controles binnen de hele organisatie worden afgedwongen, consistent zijn en zijn gedocumenteerd. De drie hiaten die het vaakst worden genoemd: inconsistente afdwinging van MFA, accounts met te veel rechten en onbeheerde inloggegevens, zijn ook de hiaten die een wachtwoordbeheerder het best kan dichten.

Met Bitwarden kunnen organisaties via beleidscontroles voor ondernemingen twee-staps login binnen de hele organisatie verplicht stellen. Bitwarden integreert ook met Duo voor gecentraliseerde MFA-afdwinging en -bewaking. Daarnaast bevatten kluisgezondheidsrapporten een rapport Inactieve 2FA waarin inloggegevens worden gemarkeerd waarbij geen TOTP-seed is opgenomen.

Rolgebaseerde toegangscontroles, machtigingen op collectieniveau en gebruikersgroepbeleid stellen beheerders in staat om principes van minimale rechten toe te passen op alle inloggegevens in de organisatie. Organisatie-eigenaren kunnen ook de collectie-instellingen aanpassen om beheerderstoegang tot gedeelde inloggegevens te beperken, zodat zelfs rollen met verhoogde rechten geen algemene zichtbaarheid hebben in gevoelige inloggegevens.

Wachtwoorden van serviceaccounts en gedeelde inloggegevens die in spreadsheets, e-mailthreads of persoonlijke kluizen staan, vormen een blinde vlek waar auditors specifiek naar zoeken. Bitwarden brengt deze onder in een beheerde, controleerbare omgeving waarin toegang wordt beheerd, gelogd en kan worden ingetrokken. Bitwarden Secrets Manager biedt ook gecentraliseerde beveiligingscontrole voor API-sleutels.

De gebeurtenislogboeken in de Bitwarden-beheerdersconsole leggen vast wie welke inloggegevens heeft geopend, wanneer en vanaf waar. Integraties met SIEM-tools of het gebruik van API-sleutels maken het mogelijk deze gebeurtenissen op te nemen en te verwerken met andere gebeurtenismonitoring in de bedrijfsinfrastructuur.

Bitwarden versleutelt gegevens client-side voordat ze het apparaat van de gebruiker verlaten. Dankzij de zero-knowledge-architectuur en open-source codebase kan de implementatie van encryptie onafhankelijk worden geverifieerd. Encryptie is duidelijk gedocumenteerd in het Bitwarden-beveiligingswhitepaper.

Voor organisaties met strikte vereisten voor gegevensresidentie biedt Bitwarden een speciale EU-clouddienst en een optie voor self-hosted implementatie waarbij gegevens volledig binnen uw eigen infrastructuur blijven.

Organisaties kunnen inloggegevens delen met leveranciers via de veilige deelfuncties van Bitwarden Send of door RBAC te gebruiken en een contractor tijdelijk toegang te geven. Wanneer een leveranciersrelatie eindigt, wordt de toegang via het platform ingetrokken.

Een wachtwoordbeheerder ondersteunt direct een beveiligingscultuur door sterke, unieke wachtwoorden voor elke gebruiker de gemakkelijkste weg te maken. Daarnaast ontvangen gebruikers van Bitwarden Enterprise ook een gratis Families-account zodat ze ook thuis goede beveiligingsgewoonten kunnen oefenen.

De handhaving van NIS2 versnelt in de hele EU, en artikel 21 legt de lat duidelijk: controles moeten worden geïmplementeerd, afgedwongen en aantoonbaar gemaakt. De organisaties die toetsing door auditors zullen doorstaan, zijn de organisaties die toezichthouders een gedocumenteerde en operationele beveiligingshouding kunnen tonen, per inloggegeven.

Bitwarden biedt organisaties beide kanten van die vereiste. Beleidscontroles voor ondernemingen dwingen MFA, toegangsrechten en principes van minimale rechten af voor elke gebruiker. Gebeurtenislogboeken in de beheerdersconsole en SIEM-integraties creëren de audittrail die aantoont dat deze controles werken. En als open-source platform met EU-cloud en opties voor self-hosted implementatie ondersteunt Bitwarden de vereisten voor datasoevereiniteit van EU-organisaties.

Compliance hoeft geen lang, duur infrastructuurproject te zijn. Een wachtwoordbeheerder is een van de snelste manieren om de hiaten in inloggegevens te dichten waar auditors op controleren en om het bewijsdossier op te bouwen dat ze zullen willen zien.

Ga vandaag nog aan de slag met een gratis proefversie van Bitwarden Business.

Wat is NIS2?

NIS2 benadrukt cybersecurityrisicobeheerprocessen die zijn ontworpen om bedrijven te verplichten maatregelen te nemen om cybersecuritydreigingen te voorkomen of te beperken. Het omvat risico's en maatregelen met betrekking tot AI, waaronder cybersecuritytests, documentatie en mitigatiestrategieën.

Wat is het verschil tussen NIST en NIS2?

In tegenstelling tot NIS2 bevat het NIST Cyber Security Framework geen uitvoerbare lijst. Het gebruik van een NIST-specifiek raamwerk voor cyberweerbaarheid kan organisaties helpen zich effectief voor te bereiden op naleving van de richtlijn voor informatiebeveiliging.

Wat is de uitvoeringshandeling van NIS2?

De NIS2-richtlijn omvat nu middelgrote en grote publieke en private entiteiten in meer kritieke sectoren voor cyberweerbaarheid.

Wat zijn de netwerk- en informatiesystemen van NIS2?

NIS2 legt als EU-brede wetgeving de nadruk op cybersecurityrisicobeheerprocessen die zijn ontworpen om de uitdaging van het veranderende landschap van cybersecuritydreigingen aan te gaan. Het ontwerp vereist dat bedrijven maatregelen nemen om cybersecuritydreigingen te voorkomen of te beperken. Het omvat risico's en maatregelen met betrekking tot AI, waaronder cybersecuritytests, documentatie en mitigatiestrategieën.

NIS2 omvat veel meer organisaties dan de oorspronkelijke NIS-richtlijn. Dit omvat aanbieders van essentiële diensten binnen kritieke sectoren zoals gezondheidszorg, energie en transport. De Europese Unie wil cybersecuritymaatregelen en -praktijken in alle lidstaten harmoniseren.

De richtlijn maakt bij het stellen van eisen ook onderscheid tussen essentiële en belangrijke entiteiten.