Blog

NIS2 komt eraan: reden tot zorg? Ja en nee.

Nils Hoole is Privacy & Security Officer bij Centric. | Beeld: Centric

De laatste tijd spreek ik op onze regiosessies met gemeenten over NIS2. Doel van deze richtlijn, die uiterlijk eind 2024 moet zijn omgezet in nationale wetgeving, is om het cyberweerbaarheidsniveau binnen de Europese Unie te verhogen. Als ik het heb over NIS2 dan kijken veel mensen mij glazig aan, maar als ik vertel over de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni), dan wordt het duidelijker. Die wet is bekend en is de Nederlandse vertaling van NIS1. NIS2 is de opvolger van NIS1.

NIS1 geldt voor organisaties die essentiële diensten leveren en dat worden er met NIS2 een stuk meer. Gemeenten vallen er straks ook onder. Voor al deze organisaties geldt dan een meldplicht en een zorgplicht. Dat is een heel belangrijke verandering, die gemeenten best spannend vinden, merk ik. Is dat terecht? Deels niet, maar deels ook wel. Om met het goede nieuws te beginnen: als u voldoet aan de eisen van de BIO, wat elke gemeente zou moeten, dan hoeft u zich niet veel zorgen te maken over NIS2. De maatregelen die gemeenten straks volgens de richtlijn moeten nemen, sluiten aan op wat er in de BIO staat.

Het zetten van vinkjes is straks niet meer genoeg. U moet gaan aantonen dat uw beleid echt werkt.

Maar ik zie wel een fundamenteel verschil tussen wat de BIO en NIS2 van gemeenten vragen. De BIO toetst op het bestaan van maatregelen die u heeft genomen en kijkt of de plannen worden uitgevoerd. NIS2 wordt nog in nationale wetgeving vertaald, daarom is het nu nog niet mogelijk om precies uiteen te zetten wat deze wet van gemeenten zal vragen. Het lijkt er echter sterk op dat NIS2 meer belang toe zal kennen aan de werking van de plannen die organisaties maken voor informatieveiligheid. Ik zeg daarom wel eens oneerbiedig dat het zetten van vinkjes straks niet meer genoeg is. U moet gaan aantonen dat uw beleid echt werkt. De sancties liegen er bovendien niet om. Een nog nader te bepalen toezichthouder kan hoge boetes uitdelen, zoals al gebeurt voor de AVG. Bestuurders kunnen zelfs persoonlijk aansprakelijk worden gesteld.

Toets de werking van uw eigen maatregelen

Mijn boodschap aan gemeenten is gezien dit alles dan ook tweeledig. Een: als u voldoet aan de BIO, dan bent u goed op weg om te voldoen aan de nieuwe richtlijn. Twee: Zorg er wel voor dat u zelf de werking van uw maatregelen toetst. Doe steekproeven in uw eigen organisatie, zodat u problemen kunt oplossen voordat u er door een toezichthouder op gewezen wordt.

Breng uw toeleveringsketen in kaart

En dan is er nog iets anders dat gemeenten alvast kunnen doen, in samenwerking met leveranciers en de Informatiebeveiligingsdienst (IBD). Organisaties die onder NIS2 vallen, zullen hun directe toeleveringsketen in kaart moeten brengen om de risico’s die ze lopen inzichtelijk te maken en het liefst ook te verkleinen. Vaak worden hiervoor zelf opgestelde vragenlijsten gebruikt. Het zou zowel gemeenten als leveranciers veel tijd schelen als gemeenten hier een standaard voor afspreken. Zoals ze ook hebben gedaan met de verwerkersovereenkomst. Dan kunnen we allemaal, gemeenten en leveranciers, onze tijd zoveel mogelijk besteden aan het nemen van maatregelen conform de BIO en aan het daadwerkelijk toetsen van de werking daarvan. Zodat we zijn voorbereid op NIS2.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren