Hans de Vries: Kennis en expertise op cybersecuritygebied moet flink groeien
Als NIS2 per september 2024 van kracht wordt moeten overheden aan veel meer eisen op securitygebied voldoen en worden zij een ‘regieorganisatie’ die input moet leveren aan al hun leveranciers. Bestuurders worden de komende tijd uitgedaagd om hun kennis op gebied van cybersecurity te vergroten, meent Hans de Vries. “Het wordt een vereiste dat er straks iemand met cybersecuritykennis in het bestuur zit, en dat is momenteel nog lang niet altijd het geval.”
Iedereen, dus ook de bestuurder kan straks aansprakelijk worden gehouden bij een cyberincident; niet alleen degene die het betreffende onderwerp in zijn portefeuille heeft.” De Vries noemt dat ‘best wel ingrijpend’. “Tegelijkertijd is dat allemaal nodig gebleken in de afgelopen jaren.”
Op het moment van spreken met iBestuur is Hans de Vries nog directeur van het Nationaal Cybersecurity Centrum (NCSC). De Vries stelt vast dat met NIS2 het nodige gaat veranderen voor organisaties. Niet langer krijgt alleen de vitale sector te maken met een uitgebreide cybersecurityregelgeving, ook veel andere sectoren moeten aan de bak. Het cybersecuritystelsel gaat mede daarom op de schop: het NCSC wordt samengevoegd met het Digital Trust Center (DTC) en het Cyber Security Indicent Response Team voor digitale dienstverleners (CSIRT-DSP). Daarmee krijgt het NCSC in dit nieuwe stelsel een uitvoerend coördinerende rol, zodat alle adviezen met elkaar zijn afgestemd.
“Onze missie, werken aan een digitaal weerbaar Nederland, blijft hetzelfde. Wel krijgen we een vernieuwde organisatie, gebaseerd op het NCSC, waarbij we kennis, kunde en kracht bundelen. Daarnaast willen we eenduidigheid creëren en simpele processen inrichten die dat ook mogelijk maken.” Dat is hard nodig want in totaal wordt het aantal organisaties dat aan de NIS2-regelgeving moet voldoen uitgebreid van 300 naar zo’n 7.500 tot 8.000 organisaties, schat De Vries in.
Incident response-plannen en cybercrisisoefeningen
“Veel organisaties worden dankzij NIS2 geconfronteerd met het feit dat ze nu écht maatregelen moeten nemen op gebied van cybersecurity. Dat betekent onder meer incident response-plannen maken, veel meer cybercrisisoefeningen organiseren en veel meer verplichte maatregelen nemen.” Ook het toezicht op de digitale veiligheid zal flink toenemen. “Er komt, kort gezegd, dus behoorlijk wat af op een groot aantal organisaties.”
Bewustwording
Belangrijk is volgens De Vries dat de aanwezige kennis en expertise op cybersecuritygebied flink zal moeten groeien. “Hoewel, wellicht nog belangrijker en zelfs noodzakelijk is dat er meer de bewustwording over het onderwerp komt bij de besturen van al die organisaties.”
25 oktober a.s: Security & Overheid 2023
Op 25 oktober a.s. organiseert iBestuur voor de tweede maal het event Security & Overheid. De dag staat geheel in het teken van de invoering van NIS2. Ook Hans de Vries is erbij aanwezig. Hij zal ingaan op de NL Cyber Strategie en op de impact die NIS2 zal hebben. Ook kijkt hij wat verder vooruit naar de opmaat voor het ‘nieuwe NCSC’, als NCSC, DTC en CSIRT-DSP samen zijn gegaan.
De strikte logica die je nodig hebt om de cyber-aspecten van het werken met data te kunnen begrijpen, dragen bij tot de ontwikkeling van automatiseerbare verificatie procedures op compliance en dreiging profielen. Om dat als Bestuurder te kunnen overzien moet ‘cybersecurity’ niet alleen bestuurskamer onderwerp nummer één worden, omdat NIS2, EU Data Act en nog 15 andere aanstormende compliance eisen nu ook tot persoonlijke aansprakelijkheid kunnen leiden (hullie weer met hun nieuwe regels!), maar omdat ‘cyber’ gewoon ‘digitaal’ is en geen machinekamer issue. Digitaal is niets nieuws; dat doen we al sinds de ENIAC. Door cybersecurity op te nemen in Data Governance, wordt het gewoon een integraal onderdeel van de dagelijkse aansturing, waarom je als organisatie eigenlijk assets en resources combineert. Het is een multidisciplinair speelveld. Juist omdat NIS2 en Data Act etc in elkaar grijpen, zou dit ook een prima moment zijn om de traditionele stovepipe Governance scheiding tussen bedrijfsvoering, proceslaag en IT anders in te richten. Door Data Governance, Cybersecurity en Portfolio/Asset management te combineren – en daar zijn prachtige automatische middelen voor – wordt Compliance by Default prima haalbaar. Scheelt niet alleen veel geld in te vermijden boetes, achteraf uit te voeren audits en juridische achterhoede gevechten, maar bespaart ook veel geld door licentie herstructurering (dubbelingen eruit etc.) Die prachtige en extreem nuttige compliance eisen zijn een enorme kans, geen nieuwe last.