Zal de aanstaande invoering van de NIS2 een vergelijkbare invloed hebben als destijds de AVG en vooral ook zal deze nieuwe, aangescherpte regelgeving een zegen of een vloek blijken te zijn?
Elk jaar op 25 mei kom ik met een aantal (oud)collega’s samen om een bijzondere gebeurtenis te herinneren: de AVG dag. Net zoals veel andere organisaties heeft mijn organisatie een programma opgetuigd om onze organisatie helemaal voor te bereiden op alle te implementeren AVG verplichtingen. De medewerkers vanuit dit programma komen dus nog elk jaar samen.
Mijn organisatie is eind 2021 aangewezen als aanbieder van essentiële diensten onder de huidige Wet Bescherming Netwerk en Informatiesystemen (WBNI). We hebben daarom al enige ervaring met de implementatie volgend uit wetgeving en uiteraard hadden wij daarvoor al ervaring met de implementatie van de AVG opgedaan.
25 oktober: Security & Overheid 2023
Ik ben gevraagd om op 25 oktober a.s. tijdens Security & Overheid 2023 te vertellen hoe wij de implementatie van de WBNI hebben aangepakt en deze contrasteren met de wijze waarop we de AVG hebben geïmplementeerd. Ik zal daarbij ook stil staan bij de (aanvullende) verplichtingen volgend uit de NIS en hoe we deze gaan implementeren. Daarbij maken we vanzelfsprekend zoveel mogelijk gebruik van onze ervaringen met de implementatie van AVG en van de NIS.
Zegen of vloek?
Om een tipje van de sluiter op te lichten: de implementatie van de NIS2 zal een vergelijkbare invloed hebben als de AVG. Uiteraard zijn er verschillen en zijn er overeenkomsten.
En dan die andere vraag. Het ligt voor de hand dat ik als security professional NIS2 als een zegen beschouw. Ik zal tijdens mijn presentatie daar wel enige kanttekeningen bij plaatsen. En ja, het kan inderdaad ook wel een vloek zijn, maar dat is een risico dat we onder ogen moeten zien.
Meer informatie over Security en Overheid 2023
Op het iBestuur event Security & overheid op 25 oktober staan essentiële vraagstukken centraal:
- Wat betekent de nieuwe richtlijn voor uw organisatie? Welke stappen moeten gezet worden en wanneer?
- Welke rol zullen bestuurders moeten gaan spelen?
- Hoe vormt u zich een goed beeld van de cybersecurity-volwassenheid van de organisatie? Welke vragen moet u stellen?
Het is fascinerend om te zien hoe regelgeving rondom informatiebeveiliging en privacy evolueert. De AVG en de WBNI (en de aankomende NIS2) zijn voorbeelden van pogingen om organisaties te verplichten om meer aandacht te besteden aan de bescherming van gegevens en netwerksystemen. Laten we de mogelijke zegeningen en vloeken van de NIS2 uiteenzetten:
Zegen:
Verbeterde Cyberweerbaarheid: De NIS2 is ontworpen om de cyberweerbaarheid van de EU te versterken. Door strengere normen te stellen voor netwerk- en informatiesystemen, kunnen organisaties beter bestand zijn tegen cyberaanvallen.
Harmonisatie van regelgeving: Door een uniform kader te bieden voor netwerk- en informatiesystemen, kan de NIS2 helpen om versnippering van regelgeving tussen EU-lidstaten te verminderen.
Stimuleren van investeringen: Met de verplichting om te voldoen aan de NIS2, kunnen organisaties meer investeren in cyberbeveiligingsoplossingen en -diensten, wat de algehele beveiligingsinfrastructuur kan versterken.
Vertrouwen van klanten: Wanneer organisaties voldoen aan de NIS2, kunnen ze het vertrouwen van hun klanten vergroten omdat ze kunnen aantonen dat ze voldoende beveiligingsmaatregelen hebben getroffen.
Vloek:
Implementatiekosten: Net als bij de AVG kunnen de kosten voor het implementeren van de vereisten van de NIS2 hoog zijn, vooral voor kleinere organisaties.
Complexiteit: Voor veel organisaties kan het navigeren door de complexiteit van de NIS2 uitdagend zijn, vooral als ze niet over de nodige expertise beschikken.
Verhoogde rapportageverplichtingen: Organisaties kunnen worden belast met extra rapportageverplichtingen, wat kan leiden tot administratieve lasten.
Potentiële sancties: Net als bij de AVG kunnen er zware sancties worden opgelegd aan organisaties die niet voldoen aan de NIS2.
Cyberweerbaarheid en een veilig ecosysteem:
Cyberweerbaarheid begint inderdaad met een veilig ecosysteem. De informatie-maatschappij functioneert op een netwerk van systemen en gegevens. Als een enkel onderdeel van dit ecosysteem kwetsbaar is, kan het hele systeem in gevaar komen. Door regelgeving zoals de NIS2 wordt er een fundament gelegd voor een veiliger ecosysteem. Organisaties worden aangemoedigd (of zelfs verplicht) om best practices te volgen, wat kan leiden tot een algehele verhoging van de cyberweerbaarheid.
Echter, zoals bij elke regelgeving, is het van cruciaal belang dat organisaties niet alleen voldoen aan de letter van de wet, maar ook aan de geest ervan. Het gaat er niet alleen om te voldoen aan regelgevende checklists, maar om het creëren van een cultuur van beveiligingsbewustzijn en bestendigheid. Helaas zie ik dat NIS2 bij veel bestuurders nog totaal niet op de agenda staat en dat is zorgelijk. Educatie is dus key. Immers het is vooral zuur dat voor familiebedrijven straks enorme boetes betaald moeten worden omdat de zaken niet op orde zijn.