Terugblik Workshop 'Challenges of Implementing Cybersecurity: The Perspective of the NIS2 Directive'

Op 13 maart werd door Evgeni Moyakine, universitair docent IT-recht bij de Faculteit Rechtsgeleerdheid, in samenwerking met de Jantina Tammes School of Digital Society, Technology and AI een evenement georganiseerd over cybersecurity en de ‘Network and Information systems Security’ (NIS) 2 richtlijn. Tijdens de in het House of Connections gehouden workshop getiteld ‘Challenges of Implementing Cybersecurity: The Perspective of the NIS2 Directive’ werden deelnemers ondergedompeld in een boeiende en informatieve ervaring die mogelijk was gemaakt door de waardevolle bijdragen van de uitgenodigde sprekers: Fadi Mohsen, universitair docent Computer Science bij de Faculty of Science and Engineering, en Arjan de Jong, specialistisch inspecteur Wbni bij de Rijksinspectie Digitale Infrastructuur. De focus van dit evenement lag op het verkennen van de voornaamste uitdagingen bij de implementatie van de NIS2-richtlijn die de cyberweerbaarheid van de EU in bepaalde kritieke sectoren, zoals energie, gezondheidszorg en overheid, versterkt.

De middag begon met de presentatie van Evgeni Moyakine over het NIS-raamwerk dat twee richtlijnen van de EU omvat. Hij legde niet alleen de belangrijkste bepalingen van deze wetgeving uit, maar benadrukte ook de grootste tekortkomingen en lacunes van de NIS1-richtlijn – zoals haar beperkte toepassingsgebied en vaag geformuleerde artikelen – en de noodzaak van het aannemen van de tweede versie van deze richtlijn. Daarnaast belichtte de juridisch expert de veranderende dynamiek van het cybersecuritylandschap en besprak hij de kernproblemen en uitdagingen die verband houden met het waarborgen van de digitale veiligheid van netwerken en informatiesystemen van organisaties die binnen de kritieke infrastructuur opereren. Bovendien benadrukte hij het belang van cyberattributie en internationale aansprakelijkheid voor door staten gesponsorde offensieve cyberoperaties en ging hij dieper in op de cyberbeveiligingsverplichtingen waaraan de zogenaamde essentiële en belangrijke entiteiten die onder de reikwijdte van de NIS2-richtlijn vallen, moeten voldoen om zich tegen cyberaanvallen en andere cyberincidenten te beschermen.

Vervolgens behandelde Fadi Mohsen de implementatie van de NIS2-richtlijn vanuit het technische perspectief en richtte hij zich op de verscheidenheid aan technische maatregelen die publieke en private entiteiten uit kritieke sectoren moeten treffen. Hij wierp licht op het belang van digitale weerbaarheid in de moderne tijd en gaf inzicht in de factoren die bijdragen aan het succes van hackers bij hun kwaadaardige activiteiten. Hoewel hackers slechts één enkele kwetsbaarheid hoeven te ontdekken voor het lanceren van een cyberaanval, is het verdedigen van netwerken en systemen tegen hen een grotere uitdaging en vereist een proactieve en holistische cybersecurity-aanpak. De cyberbeveiligingsexpert ging in op de specifieke maatregelen die moeten worden genomen om de digitale veiligheid te waarborgen, inclusief netwerksegmentatie en basispraktijken op het gebied van cyberhygiëne, en schetste de te zetten stappen voor de getroffen organisaties.

Vervolgens betrad Arjan de Jong, alumnus van de RUG die IT-recht had gestudeerd, het podium en besprak hij de implementatie van de NIS2-richtlijn vanuit juridisch oogpunt. Als cybersecurity-expert die momenteel direct betrokken is bij het omzettingsproces in Nederland, gaf hij een helder overzicht van de wetgevingsprocedures op zowel EU- als nationaal niveau en vertelde hij over de complexe aard van het proces van het implementeren van de Europese cybersecurityregelgeving in nationale wetgeving. Deze uitleg was zeer nuttig gezien de diversiteit van het publiek dat niet enkel uit juristen bestond. Het ontwerpen van de nationale wet aan de hand van de NIS2-richtlijn is volgens hem vergelijkbaar met het coderen in een programmeertaal zoals C++: één klein foutje in de code kan ervoor zorgen dat het hele systeem defect raakt of instort. De specialistisch inspecteur raadde alle deelnemers en vooral studenten aan om meer betrokken te zijn bij fascinerende wetgevingsprocessen op dit gebied, bijvoorbeeld door actief bij te dragen aan internetconsultaties.

Een hoogtepunt van de workshop was de ‘hands-on experience’ in de vorm van de interactieve opdracht gebaseerd op een realistisch scenario die aan het publiek werd gepresenteerd. Een ransomware-aanval treft het Universitair Medisch Centrum Groningen en de systemen van de organisatie worden via een phishingmail geïnfecteerd. Deze digitale aanval met een zeer agressieve ransomwarevariant genaamd ‘LockBit 3.0’ resulteert in een ernstige verstoring van essentiële medische diensten en de beschikbaarheid en vertrouwelijkheid van alle patiëntendossiers komen in gevaar. De deelnemers kregen een viertal vragen dat betrekking had op technische, juridische, ethische en educatieve aspecten van de casus en gingen in discussie met elkaar en met Evgeni Moyakine die deze oefening in goede banen leidde. Ze verkenden enthousiast de gestelde vragen en wisselden hun ideeën en zorgen uit. Sommigen van hen gaven tijdens de netwerkpauzes aan dat de workshop een blijvende impact op hen had gehad als stimulerende leeractiviteit, wat het potentieel van dit evenement of andere soortgelijke evenementen voor de toekomst onderstreept.

Dit bericht is geplaatst door de Faculteit Rechtsgeleerdheid.

• Lees meer nieuws van de Faculteit Rechtsgeleerdheid.