NIS2 komt eraan, maar niemand weet nog in welke vorm precies. Toch zijn er wel indicaties voor de eisen die NIS2 zal stellen aan organisaties. Matthias Zuchowski is regelgevingsexpert bij G DATA CyberDefense en beantwoordt vier prangende vragen rondom de nieuwe richtlijn.
Waarin onderscheidt NIS2 zich van andere wetgeving?
Het grote verschil zit ‘m in het toepassingsgebied: het aantal sectoren dat aan strengere regelgeving moet voldoen wordt stevig uitgebreid. Daarnaast zullen dankzij NIS2 meer middelgrote bedrijven te maken gaan krijgen met securitywetgeving. Maar als je kijkt naar de basisvereisten van NIS2, dan is er eigenlijk niets nieuws onder de zon. Organisaties die wettelijk al aan bepaalde security-bepalingen moeten voldoen, zullen niet voor grote verrassingen komen te staan. De grote veranderingen zullen vooral plaatsvinden binnen bedrijven voor wie dit nieuw is.
Wat staat er precies in de NIS2-richtlijn?
Het is lastig om deze vraag te beantwoorden omdat de concrete specificaties en benchmarks nog niet bekend zijn. De Nederlandse concept wettekst (waarin de Europese richtlijn wordt vertaald naar nationale wetgeving) is op dit moment nog in ontwikkeling en eerste opzet wordt ergens in het eerste kwartaal van dit jaar verwacht. Voor België geldt hetzelfde.
Gelukkig biedt de Europese richtlijn zelf al wat meer duidelijkheid. Als je naar NIS2 kijkt, zie je namelijk inhoudelijk veel overeenkomsten met ISO27001. Organisaties die tot nu toe slechts minimale IT-beveiligingsmaatregelen hebben genomen, zouden deze ISO-certificering dus als leidraad kunnen nemen. Het lastige is dat dit een complex en tijdrovend proces is, terwijl de gedetailleerde specificaties voor NIS2 nog ontbreken. Het kan dus zijn dat NIS2 op bepaalde details afwijkt van ISO27001.
Welke rol speelt het management en de raad van bestuur bij controle op naleving?
De belangrijkste taak van het management is zorgen voor bedrijfscontinuïteit – en vanuit dat oogpunt behoort toezicht op de naleving van de NIS2-richtlijn tot hun kerntaak. Want organisaties die niet voldoen aan NIS2 riskeren hoge boetes.
Een vergelijking met de bankensector kan verduidelijking scheppen. Bestuursleden binnen deze sector moeten op de hoogte zijn van hoe risicobeoordeling werkt. In de praktijk zie je dat dit ook daadwerkelijk het geval is: iedereen binnen het bestuur van een bank heeft in het minimale geval voldoende overzicht. IT-beveiliging werkt hetzelfde: je kunt deze veiligheid alleen maar garanderen als je weet wat er aan de hand is. De rechterhand moet weten wat de linkerhand doet, en omgekeerd.
Dit betekent overigens niet dat bestuursleden zelf het toezicht moeten uitvoeren, dat kan ook door een projectverantwoordelijke worden gedaan. Maar het betekent wel dat bestuursleden moeten monitoren en goedkeuren. En dus begrijpen wat er gaande is en weten dat maatregelen ook worden uitgevoerd.
Wanneer moeten organisaties NIS2-compliant zijn?
In theorie is de deadline 18 oktober 2024, maar voor de meeste bedrijven geldt dat ze hoogstwaarschijnlijk pas drie jaar later aan hoeven te tonen ook daadwerkelijk compliant te zijn. Maar dat betekent niet dat organisaties in die tussenliggende jaren op hun lauweren kunnen rusten. Niet alleen zal het implementeren van NIS2-aanpassingen de nodige tijd kosten, er zijn ook risico’s aan verbonden. Als er niets wordt ondernomen en er een IT-noodsituatie ontstaat (bijvoorbeeld een lek van persoonsgegevens), zullen zowel de verzekeringsmaatschappij als de toezichthouder de nodige vragen hebben. Met alle financiële gevolgen van dien. Op tijd beginnen is dus zeker geen overbodige luxe.
Matthias Zuchowski, regelgevingsexpert bij G DATA CyberDefense