Het Europese cyberdomein bevindt zich midden in een grote omslag op het gebied van cyber wet- en regelgeving. Twee richtlijnen die deze omslag karakteriseren zijn de Network and Information Security Directive 2 (NIS2) en de Digital Operational Resilience Act (DORA).
Het speerpunt van deze richtlijnen is het stimuleren van een hoog gemeenschappelijk niveau van cybersecurity in de EU. Deze richtlijnen hebben een grote impact op zowel de private als publieke sectoren en gaan een stapje verder dan voorgaande richtlijnen, met onder andere de vereisten voor het rapporteren van incidenten en de due diligence voor organisaties. Daarnaast plaatsen DORA en NIS2 cybersecurity stevig op de agenda van bestuurders en management, met potentiële gevolgen voor hen in het geval van bewezen nalatig handelen. Dit is een cruciale verschuiving die erkent dat cybersecurity niet langer een geïsoleerd IT-probleem is, maar een integraal onderdeel van bedrijfsvoering en risicomanagement.
Toenemende rol voor de publieke sector
De nieuwe richtlijnen gelden ook voor organisaties in de publieke sector en dus onze eigen overheid, met als gevolg dat de rol van deze organisaties binnen cyberweerbaarheid significant toeneemt. Enerzijds zullen organisaties in de publieke sector onder NIS2 komen te vallen, anderzijds zullen organisaties in de publieke sector zoals de Rijksinspectie Digitale Infrastructuur, de Inspectie Leefomgeving en Transport en De Nederlandsche Bank verantwoordelijk zijn voor het toezicht op de naleving van NIS2 en DORA. Daarnaast spelen bestuurders een cruciale rol in de maatschappij en economie en daarmee in het waarborgen van een effectief risicomanagementkader dat cyberrisico’s omvat. DORA en NIS2 bouwen dus voort op bestaande operationele, geïntegreerde risicomanagementpraktijken binnen organisaties. Ze voegen een extra laag toe aan risicomanagement, met specifieke aandacht voor cyberrisico’s en met name risico’s bij derde partijen. Het is belangrijk om te benoemen dat bestuurders al verschillende aspecten van risicomanagement uitvoeren, waaronder financiële risico’s, bedrijfsrisico’s en zelfs informatiebeveiligingsrisico’s. DORA en NIS2 benadrukken het laatstgenoemde binnen dit bestaande kader.
Bevordering van cyberweerbaarheid door goed voorbeeld Publieke sector
De manier waarop dit toezicht wordt gehouden op de naleving van de richtlijnen zal invloed hebben op het Nederlandse bedrijfsleven en de algehele cyberweerbaarheid van het land. Maar niet alleen als toezichthouder zullen publieke bestuurders van invloed zijn. Vanuit de entiteiten zal er ook opgekeken worden naar hoe de publieke sector NIS2 heeft geïmplementeerd. Door hun voorbeeldfunctie kunnen zij kennis en expertise delen met andere publieke domeinen: de private sector. Daarmee bevorderen ze standaardisatie en best practices voor cyberweerbaarheid.
Daarnaast wordt door het juiste voorbeeld te geven indirect de cyberweerbaarheid van cruciale infrastructuur beschermd. Vertrouwen van burgers in digitale diensten zal daarmee toenemen en digitale innovatie zal gestimuleerd worden door een veiligere omgeving. Bovendien zullen economische belangen worden beschermd door de verminderde kans op grootschalige cyberaanvallen, met als gevolg een verminderd disruptief effect op de economie. In deze veranderende context bevinden bestuurders zich in een unieke positie om een significante bijdrage te leveren aan de digitale veiligheid. Door proactief te handelen, zich te verdiepen in de richtlijnen, te investeren in cybersecuritytraining en te communiceren met stakeholders kunnen ze een cultuur van verantwoordelijkheid en naleving creëren.
De komst van DORA en NIS2 kenmerkt een nieuw tijdperk van cybersecurity en digitale weerbaarheid. Bestuurders hebben de sleutel tot het realiseren van een veilige en veerkrachtige digitale toekomst. Door hun verantwoordelijkheid te nemen, te investeren in risicomanagement en samen te werken met toezichthouders en andere organisaties, kunnen we een digitaal Nederland creëren dat beter bestand is tegen de voortdurende dreiging van cybercriminaliteit.
Auteurs artikel: Sasha Brouwer – Senior Consultant Data Security (l) en Emir Hajduk – Consultant Data Security (r), Capgemini.
Meer weten?
Kijk dan op onze site voor meer informatie en download het rapport.
