Waarom fysieke netwerkinfrastructuur niet mag ontbreken in een NIS2-risicoanalyse

Steeds meer organisaties bereiden zich voor op NIS2. Daarbij gaat het gesprek vaak over cybersecurity en aanvullende beveiligingsmaatregelen. Terecht, maar risico’s voor netwerk- en informatiesystemen beperken zich niet tot software en actieve apparatuur. Ook de fysieke netwerkinfrastructuur is een essentieel onderdeel als het gaat om veiligheid en continuïteit.

Wat is NIS2 en wat betekent dit voor organisaties?

NIS2 staat voor Network and Information Security 2 en is Europese wetgeving die organisaties in kritieke en belangrijke sectoren verplicht om risico’s voor hun netwerk- en informatiesystemen in kaart te brengen en passende maatregelen te nemen om verstoringen en incidenten te voorkomen of de impact ervan te beperken. Daarbij gaat het niet alleen over technische beveiliging, maar ook over continuïteit, processen, verantwoordelijkheden en het beheersen van risico’s. Meer achtergrond hierover is te vinden op de pagina van het NCSC over de Cyberbeveiligingswet (NIS2) en in de uitleg van de Europese Commissie over de NIS2-richtlijn.

De richtlijn schrijft daarbij niet voor welke oplossingen organisaties moeten inzetten. Het uitgangspunt is dat organisaties eerst inzicht krijgen in hun risico’s en vervolgens kunnen onderbouwen waarom bepaalde maatregelen nodig zijn en hoe die bijdragen aan het beperken van die risico’s.

In de praktijk begint dat meestal met het in kaart brengen van afhankelijkheden en kwetsbaarheden binnen de organisatie. Daarbij zie je regelmatig hetzelfde patroon terug: veel aandacht gaat naar de digitale omgeving, terwijl minder vaak wordt stilgestaan bij de infrastructuur waarop die digitale dienstverlening uiteindelijk draait.

Weers- en klimaatinvloeden op fysieke netwerken

Sabotage & diefstal

Opzettelijke schade, diefstal en aftapping van kabels leiden tot verstoringen, veiligheidsrisico’s en hoge herstelkosten.

Weer & omgeving

Water, vorst, hitte en UV hebben invloed op de levensduur en presaties van kabels en verbindingen.

Menselijke factoren

Fouten tijdens installatie, vervuilde connectoren of te scherpe buigingen veroorzaken onnodige demping en fouten.

Graafschade

Graafwerkzaamheden door derden zijn een van de belangrijkste oorzaken van kabelbreuken en uitval.

Een netwerk bestaat niet alleen uit software en actieve apparatuur. Achter iedere verbinding zitten fysieke componenten zoals glasvezelkabels, connectoren, patchpanelen, lassen en verbindingen tussen locaties. Deze onderdelen zijn minder zichtbaar in dagelijks beheer, maar bepalen uiteindelijk wel of systemen en verbindingen blijven werken.

Zoals we eerder beschreven in onze blog over de grootste risico’s voor fysieke digitale netwerken, ontstaan verstoringen niet uitsluitend in de actieve laag van het netwerk. Ook beschadiging, werkzaamheden, veroudering of veranderingen in de fysieke infrastructuur kunnen invloed hebben op prestaties en beschikbaarheid.

Daarnaast gaat het niet alleen om het beschikbaar houden van verbindingen, maar ook om het beschermen van de data die over die infrastructuur wordt verstuurd. Ongewenste toegang tot fysieke verbindingen of het aftappen van glasvezelverbindingen zijn risico’s die niet automatisch zichtbaar worden vanuit actieve apparatuur of traditionele netwerkmonitoring. Monitoring van de fysieke laag is juist ontwikkeld om veranderingen in de fysieke infrastructuur zichtbaar te maken en continu inzicht te geven in de fysieke staat van het netwerk.

Hierdoor ontstaat een belangrijk verschil tussen de digitale en fysieke laag van het netwerk. Dat systemen bereikbaar zijn en applicaties normaal functioneren, betekent niet automatisch dat de onderliggende infrastructuur ook ongewijzigd is.

Daarmee is fysieke infrastructuur niet per definitie de oorzaak van verstoringen en heeft ook niet iedere organisatie uitgebreide fysieke monitoring nodig. De impact en kans verschillen per situatie. Vanuit de gedachte van NIS2 is daarom niet direct de vraag welke maatregel nodig is, maar eerst of alle relevante risico’s überhaupt zijn meegenomen in de analyse.

Voor organisaties die sterk afhankelijk zijn van verbindingen tussen locaties, glasvezelverbindingen of bedrijfskritische netwerken is dat een belangrijk aandachtspunt.

Wanneer uit de risicoanalyse blijkt dat de fysieke infrastructuur een belangrijke rol speelt in de beschikbaarheid van diensten, kan monitoring één van de maatregelen zijn die wordt overwogen.

Die benadering sluit goed aan op de Routekaart Risicomanagement van het NCSC. Daarin wordt risicomanagement beschreven als een doorlopende cyclus van risicobeoordeling, risicobehandeling en monitoring. Monitoring wordt daarbij niet gezien als einddoel, maar als een manier om zicht te houden op de effectiviteit van maatregelen en op veranderingen in de omgeving.

Voor fysieke netwerken betekent dit dat monitoring niet begint met het aansluiten van apparatuur of het activeren van dashboards. Zoals we eerder beschreven in onze blog over grip houden op grootschalige fysieke glasvezelnetwerken, begint effectief netwerkbeheer met het begrijpen van de bestaande infrastructuur.

Daarom wordt voorafgaand aan monitoring eerst het netwerk geanalyseerd en in kaart gebracht. Daarbij worden verbindingen, routes, afhankelijkheden en netwerksegmenten inzichtelijk gemaakt en wordt vastgesteld welke meetwaarden horen bij de normale situatie. Die uitgangssituatie vormt vervolgens het referentiekader voor verdere monitoring.

Pas wanneer bekend is hoe het netwerk normaal functioneert, wordt het mogelijk om veranderingen betrouwbaar te herkennen en afwijkingen in context te plaatsen. Monitoring krijgt daarmee niet alleen een signalerende functie, maar helpt ook om sneller te begrijpen waar een verstoring ontstaat en welke impact die heeft.

Voor organisaties waarbij fysieke netwerken een belangrijke rol spelen, kan network monitoring een waardevolle maatregel zijn die uit een risicoanalyse volgt. Door continu zicht te houden op veranderingen in de fysieke infrastructuur ontstaat meer controle over de staat van het netwerk en kunnen beheersmaatregelen beter worden onderbouwd. Monitoring alleen maakt een organisatie niet automatisch NIS2-compliant, maar kan wel bijdragen aan aantoonbaar risicobeheer.

NIS2 vraagt organisaties niet alleen om maatregelen te nemen, maar ook om onderbouwd te kunnen uitleggen hoe risico’s worden beoordeeld en beheerst. Daarmee wordt aantoonbaarheid een belangrijk onderdeel van risicobeheer.

Monitoring maakt een organisatie niet automatisch compliant en vervangt ook geen bredere risicoanalyse. Voor organisaties waarbij fysieke netwerken een belangrijke rol spelen, kan monitoring wel helpen om veranderingen in de fysieke infrastructuur zichtbaar te maken en vast te leggen welke beheersmaatregelen zijn ingericht.

Organisaties krijgen hierdoor beter inzicht in de fysieke staat van het netwerk en kunnen ontwikkelingen over tijd volgen. Die informatie helpt niet alleen bij dagelijks beheer, maar maakt ook inzichtelijk dat fysieke netwerkafhankelijkheden zijn meegenomen in de risicoanalyse en dat hier actief op wordt gestuurd.

Het doel is daarbij niet om te bewijzen dat een netwerk volledig veilig is. De waarde zit juist in het kunnen onderbouwen dat ook de fysieke infrastructuur onderdeel is geworden van het risicobeheer en dat maatregelen structureel worden bewaakt.

Voor organisaties die NIS2 voorbereiden, begint de eerste stap niet bij monitoring, maar bij inzicht in het bestaande netwerk. Voordat monitoring waarde krijgt, is het belangrijk om te begrijpen hoe het netwerk is opgebouwd, welke verbindingen kritisch zijn en welke risico’s impact kunnen hebben op de werking van het netwerk.

Daarom helpen wij organisaties niet alleen bij het analyseren van de bestaande netwerkinfrastructuur, maar ook bij het in kaart brengen van fysieke netwerkafhankelijkheden als onderdeel van de NIS2-risicoanalyse. Op basis daarvan kan worden bepaald welke risico’s aandacht vragen, welke maatregelen passend zijn en of aanvullende monitoring zinvol is.

Zo ontstaat niet alleen beter inzicht in het fysieke netwerk, maar ook een onderbouwde basis om risico’s te beheersen en maatregelen aantoonbaar in te richten.

Uiteindelijk vraagt NIS2 organisaties niet om overal extra maatregelen te nemen, maar om alle relevante risico’s mee te nemen. Ook die in de fysieke infrastructuur van het netwerk.