De schrijvende pers – en uiteraard ook de sociale media – stonden de afgelopen tijd vol met het nieuws: ‘NIS2-wetgevingsdeadline wordt niet gehaald door Nederlandse overheid’. De grote vraag die zich hierbij aandient: wat nu? Hebben de organisaties die aan NIS2 moeten voldoen, meer tijd gekregen om dat doel te bereiken? Volgens mij is dat niet de juiste vraag om te stellen, en ik leg in dit artikel graag uit waarom.

Wat is er aan de hand?

AG Connect schreef: “Niet alleen het Nederlandse bedrijfsleven onderschat de implementatie van NIS2. Ook de Nederlandse overheid blijkt zich erin te verslikken. De voorbereiding voor de consultatie over de Nederlandse implementatie van deze Europese cybersecurityrichtlijn loopt uitstel op waardoor de deadline van 17 oktober níet wordt gehaald.”

De urgentie kan wel eens hoger zijn dan gedacht

Dat het Nederlandse bedrijfsleven de implementatie van NIS2 onderschat, daar ben ik het helemaal mee eens. Maar wat betekent deze ontwikkeling vanuit de overheid concreet? Kunt u nu achterover gaan leunen of juist aan andere prioriteiten werken? Op het eerste gezicht lijkt het erop, alsof het bedrijfsleven meer tijd krijgt om alsnog wat te gaan doen. Maar ik vraag me af of we wel echt extra tijd hebben gekregen. Want de Europese NIS2-richtlijn is al eind 2022 vastgesteld en het enige wat nu vertraagd is, is de Nederlandse implementatiewetgeving daarvan. Linksom of rechtsom: NIS2 komt eraan en de kans dat het overwaait is nul.

NIS2 is geen doel op zich

Wat mij betreft gaat het niet om NIS2 (of de BIO, ISO 27001, NEN 7510 of wat voor norm of richtlijn er ook op u afkomt). Die richtlijnen zijn geen doel op zich, maar een gevolg van de overheid die onderkent hoe groot de cybersecurity risico’s zijn. Die regelgeving is er dus, omdat het belangrijk is om veilig te zijn. In die zin is het mogelijke uitstel van de NIS2 richtlijn in Nederland geen ‘cadeautje’. De tijd die u lijkt te winnen om aan de richtlijn te voldoen, betekent feitelijk dat uw organisatie meer tijd heeft om gehackt te worden. Als bedrijf moet je de intrinsieke wens hebben om veilig te zijn. Hackers hebben immers geen ‘code of conduct’ als het gaat om het vinden van slachtoffers.

De impact van NIS2

Eén van de onderdelen van NIS2 is dat de gehele keten op orde en onder controle moet zijn: vanaf uw klant en uw organisatie via uw tier 1 leveranciers tot de uiteindelijke bron van de producten die u inkoopt. Als PQR moeten wij hier ook aan voldoen en dat betekent bijvoorbeeld dat wij in het uiterste geval moeten kunnen aantonen dat de schroefjes waarmee wij servers in het datacenter vastzetten, van betrouwbare bronnen komen. Uiteindelijk gaat NIS2 om de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Dat moet u gewaarborgd hebben en daar moet u heel veel voor doen: van HR-beleid tot fysieke toegang, awareness, leveranciersmanagement en risicobeheersing.

Verantwoordelijkheid

NIS2 is dus geen eenmalige ‘check in the box’ die u kunt zetten maar een strategisch continuïteitsvraagstuk. De verantwoordelijkheid voor dat vraagstuk ligt niet bij de organisatie, maar bij de bestuurder. Bestuurders kunnen persoonlijk aansprakelijk gesteld worden wanneer hun organisatie niet voldoet aan de richtlijn, dus daar valt de boete op de deurmat. En dat is een verantwoordelijkheid die ze niet kunnen uitbesteden – niet binnen de organisatie, maar ook niet naar een externe partij.

Hoe?

Hoe krijgt u dit voor uw organisatie onder controle? Stel dat u uw IT heeft uitbesteed, heeft u dan gecontroleerd of die toeleverancier wel betrouwbaar is? Het is uw verantwoordelijkheid als klant. U krijgt de boete als het mis gaat, dus u moet harde eisen stellen aan uw hele leveranciersketen. Ik voorzie dat bedrijven afscheid gaan nemen van leveranciers, tenzij die kunnen aantonen dat ze geen risico vormen omdat ze alles onder controle hebben.

De relatie tussen NIS2, ISO en NEN

ISO- of NEN-certificeringen tonen aan dat organisaties hun processen onder controle hebben. Ik denk dat ze hiermee in de toekomst een soort keurmerk ‘veilig zakendoen’ kunnen gaan worden. Daarnaast schat ik zelf in dat er een overlap van misschien wel 90% zit tussen NIS2 en bijvoorbeeld ISO 27001. Mijn advies: als u toch voor NIS2 aan de slag gaat, doe dan direct die certificering. Hiermee borgt u niet alleen dat de essentiële securityprocessen op orde zijn, maar kunt u dit ook aantonen naar uw klanten.

Elk nadeel heeft zijn voordeel

De vraag waar ik dit artikel mee begon: hebben de organisaties die aan NIS2 moeten voldoen, meer tijd gekregen om dat doel te bereiken? Het antwoord daarop is nee, dus u moet aan de slag en dat heeft ook voordelen.

Mijn advies: begin liever vroeger dan later. Want het risico op een hack wordt alleen maar groter. Met de juiste maatregelen krijgt u veel meer grip en voorspelbaarheid en zeker met een ISO- of NEN-certificering vereenvoudigt u de komende audits. En twijfelt u waar u moet beginnen? Wij voeren graag een NIS2 Assessment voor u uit waarna wij een rapportage met adviezen en prioriteiten aanleveren.

Geplaatst door

Haaino Beljaars

Senior Consultant Security