NIS2 komt eraan: reden tot zorg? Ja en nee.
De laatste tijd spreek ik op onze regiosessies met gemeenten over NIS2. Doel van deze richtlijn, die uiterlijk eind 2024 moet zijn omgezet in nationale wetgeving, is om het cyberweerbaarheidsniveau binnen de Europese Unie te verhogen. Als ik het heb over NIS2 dan kijken veel mensen mij glazig aan, maar als ik vertel over de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni), dan wordt het duidelijker. Die wet is bekend en is de Nederlandse vertaling van NIS1. NIS2 is de opvolger van NIS1.
NIS1 geldt voor organisaties die essentiële diensten leveren en dat worden er met NIS2 een stuk meer. Gemeenten vallen er straks ook onder. Voor al deze organisaties geldt dan een meldplicht en een zorgplicht. Dat is een heel belangrijke verandering, die gemeenten best spannend vinden, merk ik. Is dat terecht? Deels niet, maar deels ook wel. Om met het goede nieuws te beginnen: als u voldoet aan de eisen van de BIO, wat elke gemeente zou moeten, dan hoeft u zich niet veel zorgen te maken over NIS2. De maatregelen die gemeenten straks volgens de richtlijn moeten nemen, sluiten aan op wat er in de BIO staat.
Maar ik zie wel een fundamenteel verschil tussen wat de BIO en NIS2 van gemeenten vragen. De BIO toetst op het bestaan van maatregelen die u heeft genomen en kijkt of de plannen worden uitgevoerd. NIS2 wordt nog in nationale wetgeving vertaald, daarom is het nu nog niet mogelijk om precies uiteen te zetten wat deze wet van gemeenten zal vragen. Het lijkt er echter sterk op dat NIS2 meer belang toe zal kennen aan de werking van de plannen die organisaties maken voor informatieveiligheid. Ik zeg daarom wel eens oneerbiedig dat het zetten van vinkjes straks niet meer genoeg is. U moet gaan aantonen dat uw beleid echt werkt. De sancties liegen er bovendien niet om. Een nog nader te bepalen toezichthouder kan hoge boetes uitdelen, zoals al gebeurt voor de AVG. Bestuurders kunnen zelfs persoonlijk aansprakelijk worden gesteld.
Toets de werking van uw eigen maatregelen
Mijn boodschap aan gemeenten is gezien dit alles dan ook tweeledig. Een: als u voldoet aan de BIO, dan bent u goed op weg om te voldoen aan de nieuwe richtlijn. Twee: Zorg er wel voor dat u zelf de werking van uw maatregelen toetst. Doe steekproeven in uw eigen organisatie, zodat u problemen kunt oplossen voordat u er door een toezichthouder op gewezen wordt.
Breng uw toeleveringsketen in kaart
En dan is er nog iets anders dat gemeenten alvast kunnen doen, in samenwerking met leveranciers en de Informatiebeveiligingsdienst (IBD). Organisaties die onder NIS2 vallen, zullen hun directe toeleveringsketen in kaart moeten brengen om de risico’s die ze lopen inzichtelijk te maken en het liefst ook te verkleinen. Vaak worden hiervoor zelf opgestelde vragenlijsten gebruikt. Het zou zowel gemeenten als leveranciers veel tijd schelen als gemeenten hier een standaard voor afspreken. Zoals ze ook hebben gedaan met de verwerkersovereenkomst. Dan kunnen we allemaal, gemeenten en leveranciers, onze tijd zoveel mogelijk besteden aan het nemen van maatregelen conform de BIO en aan het daadwerkelijk toetsen van de werking daarvan. Zodat we zijn voorbereid op NIS2.
NIS2 is een uitstekende kans om nou eens eindelijk af te stappen van ‘Security-by-check-in-a-Box’!
Zeker als die box een ‘zelfbedachte vragenlijst’ is. Nog los van het feit dat de mensen die zulke checks kunnen beoordelen in onze vergrijzende samenleving erg schaars en duur zijn (of niet zo duur, maar dan zijn ze waarschijnlijk onvoldoende opgeleid). De NIS2-richtlijn vereist veel meer dan een checklist: zij vereist risicobeoordelingen, het inzetten van beveiligingsmaatregelen én incidentmeldingen. Dat kun je niet allemaal automatiseren, maar veel wel. Staatsbreed en as-a-Service. Zo zijn er geautomatiseerde tools voor het monitoren van systemen en netwerken, het detecteren van ongewone of verdachte activiteiten en het reageren op incidenten. Deze tools kunnen meldingen genereren en tijdige acties initiëren om cyberdreigingen tegen te gaan. Er bestaan ook tools die automatisch kwetsbaarheidsbeoordelingen en penetratietests uitvoeren, wat weer helpt om een doorlopende risicobeoordeling te ondersteunen, die een kernvereiste is van NIS2. Ook de melding van beveiligingsincidenten kan gedeeltelijk worden geautomatiseerd. Bij detectie van een beveiligingsincident kan een systeem automatisch een melding genereren en deze naar de juiste personen sturen, die ook een rol te spelen hebben bij de Business Continuity Management waarschijnlijk. Geautomatiseerde oplossingen kunnen tot slot helpen bij het verzamelen van de nodige gegevens en het genereren van compliance-rapporten, wat het hele proces nog efficiënter kan maken. Tot slot zijn er tools die helpen bij het beheren en controleren van beveiligingsbeleidsregels om te waarborgen dat ze worden nageleefd. Natuurlijk blijft menselijke inbreng essentieel, maar het naleven van de NIS2 richtlijn vereist constante inspanning en aandacht voor veranderingen in zowel de regelgeving als de cyberdreigingsomgeving (die onder AI muteert per milliseconde). Laten we niet de fout maken door een jaar te doen over een ‘richtlijn’ die we eens per jaar los laten op een van de duizenden applicaties, zonder ook maar enig idee te hebben waar onze organisatie begint en eindigt.
De boetes zijn heel erg echt, de Bad Guys lachen zich rot en NIS2 is maar eentje van de komende Data Compliance eisen (we hebben dezelfde Data Governance inzichten nodig voor de EU Data Act etc etc).
Ik reageer even inhoudelijk aangezien ik reeds meer dan een jaar geleden een trainingplatform heb ontwikkeld voor bestuurders en andere belanghebbenen van de NIS2 daarom een iets uitgebreidere reactie : Samenwerking op meerdere niveaus:
Je hebt absoluut gelijk dat de implementatie van cybersecurity-maatregelen verder gaat dan het technische domein en betrokkenheid vereist van CEO’s, CISO’s, DPO’s en juridische teams. Het waarborgen van cybersecurity is een bedrijfsbrede verantwoordelijkheid, die zowel technische als organisatorische maatregelen omvat. Of dit nu gaat om de overheid of over bedrijven…
Continue aanpassing en educatie:
Cyberdreigingen evolueren constant, en organisaties moeten daarom ook continu hun beleid, praktijken en technologieën herzien. Dit vereist een continue investering in opleiding en bewustmaking van alle betrokkenen, evenals het bijhouden van en anticiperen op technologische en dreigingstrends.
Het menselijke aspect:
Terwijl automatisering essentieel is voor het efficiënt uitvoeren van talloze cybersecurity-taken, moet de rol van menselijke experts, met hun mogelijkheid om context te begrijpen en complexe besluitvormingsprocessen uit te voeren, niet worden onderschat. Mensen zijn vaak in staat om subtiele signalen te detecteren die voorbijgaan aan geautomatiseerde systemen en kunnen proactieve stappen ondernemen om de onderliggende oorzaken van beveiligingsproblemen aan te pakken.
Data Governance en Compliance Management:
Data Governance betreft niet alleen het beschermen van gegevens tegen dreigingen maar ook het waarborgen van privacy, integriteit en beschikbaarheid. Het naleven van meerdere regelgevingen, zoals de NIS2 en de EU Data Act, kan inderdaad complex zijn en vraagt om een holistische aanpak, waarbij de gegevenslevenscyclus, toegangscontroles, audit trails en data lineage worden gemanaged.
Risicobeheer en Verantwoordelijkheid:
Het verminderen van de persoonlijke aansprakelijkheid voor bestuurders begint bij effectief risicobeheer, wat betekent dat zij volledig bewust moeten zijn van en betrokken moeten zijn bij het cybersecurity-beleid en de praktijken van de organisatie. Ze moeten voldoende geïnformeerd zijn om beleid goed te keuren, de implementatie ervan te bewaken en indien nodig te interveniëren.
Supply Chain en Ketenbeheer:
De ketenbenadering is essentieel, zeker in onze huidig geglobaliseerde en onderling verbonden wereld. Een cybersecurity-incident bij een toeleverancier kan verstrekkende gevolgen hebben voor alle organisaties verderop in de keten. Daarom is een uitgebreide beoordeling en monitoring van de cybersecurity-praktijken van partners en leveranciers van cruciaal belang.
Bewustwording en Cultuur:
Ten slotte moet cybersecurity worden verweven in de bedrijfscultuur. Medewerkers op alle niveaus moeten de waarde van gegevens en de risico’s begrijpen, evenals hun eigen rol in het beschermen ervan.
Samengevat, om in deze complexe en dynamische omgeving te navigeren, moeten organisaties een cultuur van cybersecurity en data governance implementeren, gedreven door voortdurende aanpassing, samenwerking en educatie. Wat ook betekent dat cybersecurity niet slechts een IT-kwestie is, maar een organisatorische prioriteit die strategisch leiderschap vereist. Meer weten ? Vraag een workshop aan want het is heel veel werk en begin vooral op tijd…