Met de invoering van de Directive for Security of Network and Information Systems (NIS2) moeten bedrijven en overheden gedegen risicoanalyses uitvoeren en maatregelen nemen om de lacunes in cybersecurity op te lossen. Niet alleen omdat ze anders een forse boete krijgen, maar vooral ook omdat ze als organisatie anders een onbetrouwbare partner worden in de keten. Dit is een van de conclusies van de sessie ‘Hoe zorgen we voor een digitaal veilige infrastructuur’ bij het iBestuur Congres 2023 in Den Haag.
“De tijd van vrijblijvendheid is voorbij,” antwoordde Martijn Lucassen, plaatsvervangend Directeur Digitale Economie bij het ministerie van EZK, op de vraag wat een van de belangrijke wijzigingen is met de invoering van de NIS2. “De cyberveiligheid van de organisatie behoort nu tot de ‘boardroom responsibilities‘.”
Beeld: Algemene Bestuursdienst
Maatschappelijke verantwoordelijkheid
De dreiging met hoge boetes van de toezichthouder, de Rijksinspectie Digitale Infrastructuur (RDI), zet organisaties in beweging. Belangrijker is dat bestuurders zich realiseren dat de verantwoordelijkheid aan de voorkant ligt, stelde Jasper Nagtegaal, Directeur Digitale Weerbaarheid bij de RDI. “Veel bedrijven en organisaties zijn vandaag onderdeel van een ecosysteem waarbij men onderling afhankelijk van elkaar is.” Dat dringt ook door bij de overheid, bevestigde Hanny Kemna van de Algemene Rekenkamer. “Belangrijk is dat bedrijven zich realiseren dat het niet alleen gaat om geld verdienen, maar dat ze ook een maatschappelijke verantwoordelijkheid hebben.”
Risicomanagement
Is een organisatie veilig als het aan alle checks voldoet? Cybersecurity is geen compliance feestje, stelt Hanny Kemna. Ze raadt CISO’s/CIO’s aan om bestuurders voor te schotelen welke (financiële) risico’s ze lopen als zaken digitaal mis gaan. “Breng de risico’s in kaart, daar staat of valt het mee. En vermeld daarbij wat dat de organisatie gaat kosten.”
Beeld: Rijksoverheid
“De kunst is om aan de voorkant je zaken goed te regelen,” zegt Nagtegaal. Dat is geen eenvoudige klus, maar alleen zo kun je je als organisatie onderscheiden en vertrouwen winnen van de klant c.q. de burger. “Het gaat erom inzicht te krijgen in de risico’s en de wijze waarop je je als organisatie weerbaar kunt maken. Uiteindelijk moeten we toe naar ‘security by design’. “Security kan geen sluitpost op de begroting zijn.”
Menselijke fouten uitsluiten is een illusie
Is het mogelijk ‘human factors’ uit te sluiten? Cyberveiligheid is een kritische factor in je organisatie, benadrukt Jasper Nagtegaal nog eens. Hij zou het liefst zien dat organisaties alleen gecertificeerde mensen inzetten, maar dat lijkt onhaalbaar. “Trainen, trainen en nog eens trainen is het devies,” aldus Nagtegaal
Harmonisatie van het toezicht
De Rijksinspectie Digitale Infrastructuur (RDI) wordt belast met het toezicht op de veiligheid van de digitale infrastructuur. Nagtegaal realiseert zich dat de vele audits een zware belasting vormen voor organisaties. Het moet efficiënter kunnen door standaardisatie van de in te vullen lijsten. De samenwerking tussen toezichthouders zal hier perspectief op moeten bieden.
Kemna knikt. Er zijn veel overeenkomsten die ondervangen kunnen worden met een standaardlijst. Goed toezicht moet niet tot overhead leiden. De vraag is: ‘Kun de ene inspectie vertrouwen hebben in wat een andere inspectie al heeft onderzocht?’ Ze hoopt dat NIS2 toezichthouders gaat helpen een andere houding aan te nemen.
Van deze break-outsessie publiceren we binnenkort een uitgebreider artikel op deze website.
In oktober publiceert iBestuur een (online) katern met interviews, verslagen en links naar break-out sessies die terug te zien zijn.
Event ‘Security & Overheid’
Op 25 oktober a.s. organiseert iBestuur het Event ‘Security & Overheid’ dat geheel in het teken staat van de implementatie NIS2.