Naleving NIS2-richtlijn: strategische adviezen voor CISO’s
Met de EU-richtlijn NIS2 wil Europa de digitale weerbaarheid in de hele unie verbeteren. Ook overheden moeten aan strengere beveiligings- en rapportagevereisten voldoen. De richtlijn is in 2022 aangenomen. Het niet naleven van de NIS-richtlijn heeft juridische en strategische gevolgen voor organisaties. CISO’s moeten aan de slag.
Voor een succesvol Europees cybersecuritybeleid zullen lidstaten met elkaar moeten samenwerken. De eerste concrete uitwerking hiervoor was de Richtlijn netwerk- en informatiesystemen (NIS-richtlijn). Deze trad in augustus 2016 in werking. De richtlijn bevat beveiligingsverplichtingen voor aanbieders van digitale diensten en moest zorgen voor een verbetering van de veerkracht van netwerk- en informatiesystemen in de EU-lidstaten. De Europese regels uit de NIS-richtlijn zijn in Nederland geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni).
Na een aantal jaren werd echter duidelijk dat de regels uit de NIS-richtlijn tekortschoten. In december 2020 stelde de Commissie een herziening van de NIS-richtlijn voor (NIS2). Ongeveer 4000 instellingen, waaronder het openbaar bestuur, worden nu ook verplicht om meer maatregelen te nemen om cyberbeveiligingsrisico’s te beheersen. Zo moeten ze aan strengere beveiligings- en rapportagevereisten voldoen. Ook alle middelgrote en grote ondernemingen worden verplicht tot zwaardere beveiligingsvoorschriften.
Juridische gevolgen
Niet-naleving van de NIS-richtlijn kan leiden tot boetes en andere straffen, waaronder mogelijke wettelijke aansprakelijkheid voor schade als gevolg van een beveiligingsincident dat voorkomen had kunnen worden als de vereiste maatregelen waren genomen. De richtlijn verplicht bedrijven en organisaties verder om specifieke maatregelen te nemen om de beveiliging van te garanderen, en als zij dit niet doen, kunnen zij juridische stappen ondernemen tegen klanten, regelgevers of andere belanghebbenden binnen het digitale ecosysteem.
Strategische gevolgen
Naleving van de NIS-richtlijn kan bedrijven helpen hun eigen systemen en activa, maar ook die van hun klanten en partners te beschermen. Dit kan het risico van dure beveiligingsincidenten verminderen en de algemene digitale veiligheidspositie van het bedrijf verbeteren.
Het aantonen van naleving van de NIS-richtlijn kan ook de reputatie en geloofwaardigheid van het bedrijf verbeteren, omdat het laat zien dat het bedrijf cyberbeveiliging serieus neemt en zich inzet voor de bescherming van de veiligheid en privacy van de informatie van zijn klanten.
Naleving van de NIS-richtlijn kan bedrijven ook helpen hun contractuele verplichtingen na te komen en mogelijke juridische geschillen met klanten of zakenpartners te voorkomen.
Vanuit het perspectief bestuurders en de Chief Information Security Officer (CISO) is het belangrijk de vereisten van de NIS-richtlijn te begrijpen en ervoor te zorgen dat de organisatie aan deze vereisten voldoet. Dit kan betekenen dat nieuwe technische en organisatorische maatregelen moeten worden genomen, dat procedures voor het melden van incidenten moeten worden vastgesteld en dat een plan moet worden ontwikkeld voor de voortdurende naleving. Het kan ook gaan om samenwerking met andere afdelingen en belanghebbenden binnen het bedrijf om ervoor te zorgen dat iedereen zijn verantwoordelijkheden begrijpt en werkt aan de naleving van de NIS-richtlijn.
Potentiële gevolgen voor de CISO of betrokken directielid
Niet-naleving van de NIS-richtlijn kan leiden tot boetes en andere sancties. De exacte gevolgen voor een CISO of directielid dat de richtlijn bewust niet naleeft, hangen af van specifieke bepalingen en de nationale wetgeving van de lidstaat waar het bedrijf is gevestigd.
In het algemeen schrijft de NIS-richtlijn voor dat de lidstaten voor niet-naleving sancties vaststellen die “doeltreffend, evenredig en afschrikkend” zijn. Deze sancties kunnen boetes, bevelen tot het nemen van corrigerende maatregelen of andere maatregelen omvatten. De NIS-richtlijn voorziet ook in de mogelijkheid van “hoofdelijke aansprakelijkheid” voor organisaties die zich schuldig maken aan “grove nalatigheid of opzet” met betrekking tot de beveiliging van hun netwerk- en informatiesystemen.
Naast de mogelijke juridische gevolgen kan niet-naleving van de NIS-richtlijn ook negatieve gevolgen hebben voor de reputatie en de geloofwaardigheid van een organisatie, omdat daaruit blijkt dat deze cyberbeveiliging niet serieus neemt en zich niet inzet voor de bescherming van de beveiliging en de privacy van de informatie van zijn klanten. Niet-naleving van de NIS-richtlijn kan een organisatie ook blootstellen aan juridische stappen van klanten, regelgevers of andere belanghebbenden.
Strategische dilemma’s
Vanuit het perspectief van een CISO liggen er in de communicatie met bestuurders verschillende complexe strategische dilemma’s op tafel. Enkele voorbeelden zijn:
- Kosten van naleving: De NIS-richtlijn vereist dat organisaties bepaalde technische en organisatorische maatregelen nemen om de beveiliging van hun netwerk- en informatiesystemen te garanderen. De invoering en handhaving van deze maatregelen kan kostbaar zijn en de CISO zal de kosten en baten van de naleving goed moeten motiveren.
- Gevolgen voor de bedrijfsvoering: De CISO moet wellicht met bestuurders samenwerken om de mogelijke gevolgen voor de bedrijfsvoering vast te stellen en een plan te ontwikkelen om eventuele verstoringen aan te pakken.
- Risicobeoordeling: De CISO moet bestuurders helpen de risico’s van de verschillende soorten bedreigingen te begrijpen en de meest doeltreffende maatregelen vast te stellen om die risico’s te beperken.
- Communicatie met belanghebbenden: De CISO zal samen met bestuurders een plan op moet stellen voor de communicatie met belanghebbenden over incidenten die hen kunnen treffen.
Adviezen voor CISO’s
- Maak uzelf vertrouwd met de vereisten van de NIS-richtlijn: De NIS-richtlijn is van toepassing op “exploitanten van essentiële diensten” en “digitale dienstverleners” en bedrijven die online marktplaatsen, online zoekmachines en cloud computing-diensten aanbieden. Het is belangrijk dat u de specifieke vereisten van de NIS-richtlijn begrijpt en weet hoe deze op uw organisatie van toepassing zijn.
- Beoordeel uw huidige beveiliging: Het is belangrijk om inzicht te krijgen in de huidige staat van uw netwerk- en informatiesystemen (NIS) beveiliging en om eventuele gebieden te identificeren die verbetering behoeven. Dit kan u helpen uw inspanningen te prioriteren en u eerst te richten op de belangrijkste gebieden.
- Ontwikkel een plan voor naleving: Zodra u uw huidige beveiligingspositie hebt beoordeeld, kunt u een plan ontwikkelen om uw bedrijf in overeenstemming te brengen met de NIS-richtlijn. Dit kan betekenen dat u nieuwe beveiligingsmaatregelen moet nemen, bestaande maatregelen moet bijwerken of nieuw beleid en nieuwe procedures moet vaststellen.
- Overleg met relevante belanghebbenden: Voor de naleving van de NIS-richtlijn kan de betrokkenheid van verschillende belanghebbenden nodig zijn, waaronder werknemers, klanten en regelgevende instanties. Het is belangrijk met deze belanghebbenden samen te werken en ervoor te zorgen dat zij op de hoogte zijn van de vereisten van de NIS-richtlijn en de mogelijke gevolgen daarvan voor hen.
- Controleer en evalueer uw nalevingsinspanningen: Naleving van de NIS-richtlijn is een continu proces. Het is belangrijk dat u uw inspanningen om aan de voorschriften van de NIS-richtlijn te voldoen, regelmatig controleert en evalueert om na te gaan op welke gebieden extra inspanningen nodig zijn.
Klik HIER voor de definitieve tekst van de NIS2-richtlijn
Igor van Gemert is oprichter van Resilientshield.nl en CEO van Learnmetaverse.today. Er is meer informatie over de NIS2-richtlijn en de Cyberresilience Act te vinden op de e-learning omgeving van academy.nis2comply.eu/
Publieke Bronnen
-
“The European Council and European Parliament recently reached a provisional agreement on the text for the EUs proposed Directive on minimum cybersecurity standards to be implemented across the EU (NIS2). The text is expected to be formally adopted in the coming months. NIS2 seeks to replace and strengthen the EUs current Network and …” Bron
-
“With respect to timeframe for implementation, the NIS2 text has been provisionally agreed by the European Parliament and European Council and both of these institutions must now formally adopt the text. NIS2 is expected to be adopted in 2022 and once adopted, Member States will have 21 months to transpose NIS2 into national law.” Bron
-
“The Councils consent ends an approval process that lasted two years. NIS2 requires member states to introduce new security laws by 2024, including a broader obligation to report cyberattacks. NIS2 is a follow-up to NIS1, a European security directive approved by the European Parliament and European Council in 2016.” Bron
De unie is net zo betrouwbaar als Poetin .
Corrupte elte mafia
Niks vertrouwen mensen deze club heeft aeen andere agenda dan zij publik openbaar maken
Onder het mom vertrouwen wordt u beet genomen..
NIS2 is een absolute bom en twee jaar zijn zo om. Waarom niet van de nood een deugd maken? Bestuurders zijn verticaal verantwoordelijk voor organisaties die inmiddels behoorlijk vage grenzen hebben gekregen, door alle samenwerkingsvormen. Die goeie toeleverancier van digitale diensten heeft ook een pasje van je computer poort. Hoeveel procent van de medewerkers werkt niet vanuit huis naar haar Tik-Tokkende kind? De moderne (meestal digibete) bestuurder is verantwoordelijk voor een lekke emmer en dan komt NIS2: shooting fish in a barrel! Het is bijna gemeen.
Door nou bewust dataproviders, gebruikers en intermediairs samen te brengen in een Data Space omgeving, ontstaan vanzelf gemeenschappelijke plaatsen waar organisaties relevante informatie kunnen uitwisselen, om daar binnen een waardeketen waarde uit te extraheren, op een interoperabele, soevereine en betrouwbare manier. Als je weet wat je aan wie levert, hoe en waarmee, heb je al 90% van NIS2 ingevuld. Bijvangst!