NIS2-richtlijn: cybersecurity vergt samenwerking

NIS2-richtlijn: cybersecurity vergt samenwerking
Met het oog op de toenemende digitalisering en groeiende impact van technologie maakt Europa zich op voor het digitale tijdperk. In die digitale samenleving en economie is het belang van eenduidige Europese verordeningen, richtlijnen en regels groot. In dat licht moeten organisaties de NIS2-richtlijn niet alleen maar zien als ‘nog meer regeldruk’, maar vooral als kans, schrijven Elly van den Heuvel en Simone Pelkmans van Deloitte. Plus: hoe u in vijf stappen aan de slag kunt.

Eerst de noodzakelijke details. NIS2 (Network and Information Security Directive) is de opvolger van NIS1 uit 2016. NIS2 gaat over wettelijke regels voor cybersecurity bij de essentiële en belangrijke onderdelen van de Europese economie en samenleving. NIS2 draait om twee kernverplichtingen. Op de eerste plaats de zorgplicht: organisaties zijn verplicht zelf een risicoanalyse uit te voeren en passende maatregelen te nemen om hun netwerk en informatie te beschermen en de continuïteit te waarborgen. En op de tweede plaats de meldplicht: organisaties moeten binnen 24 uur incidenten melden bij de toezichthouder. NIS2 geldt straks voor een groot deel van de organisaties in de Europese lidstaten, inclusief hun ketenpartners en toeleveranciers. Voorbeelden zijn spelers in energievoorziening, transport, financiële dienstverlening, zorg, voedselvoorziening, nutsvoorzieningen, datacenters en cybersecuritydiensten, maar ook de overheid. In de richtlijn zijn de criteria omschreven wanneer NIS2 van toepassing is, en welke categorieën er zijn. Overigens is het onderscheid tussen ‘essentiële’ en ‘belangrijke’ organisaties kleiner dan je zou denken: wat onder de categorie ‘belangrijk’ valt, krijgt alleen achteraf controle van de toezichthouder en de aansprakelijkheid is beperkter.

Reikwijdte
Afgaand op het internationale nieuws is er geen beter moment denkbaar om aandacht te vragen voor het aanscherpen van cybersecuritybeleid. De richtlijn gaat dan ook over veel meer dan alleen de bedrijfsmatige inzet van technologie. De richtlijn moet helpen bij het in stand houden van onze open, vrije en veilige economie en samenleving. Dat gaat over een robuuste en cyberweerbare digitale infrastructuur zodat alles blijft werken, maar ook over het beschermen van intellectueel eigendom dat noodzakelijk is voor onze economische groei. Dit is een opgave voor iedereen; je kunt ook stellen dat organisaties die non-compliant zijn, afbreuk doen aan – of zelfs een bedreiging kunnen vormen voor – die weerbare, open, vrije en veilige samenleving. Of vertaald naar uw eigen organisatie: alle medewerkers moeten zich verantwoordelijk voelen voor de cybersecurity in de organisatie! Alleen gezamenlijk kan dit bereikt worden.

Voor wie?
NIS2 is wat ons betreft dan ook geen topic voor een bepaald team, laat staan voor een specifieke functionaris. In de richtlijn wordt expliciet gesproken over een gedeelde verantwoordelijkheid en aansprakelijkheid van management bodies. Dat betekent dat zowel de rvb als de rvc moet weten wat NIS2 inhoudt, zodat zij hun respectievelijke verantwoordelijkheden kunnen nemen. Die persoonlijke aansprakelijkheid is niet voor niets in NIS2 opgenomen.
Het ‘weten’ wat NIS2 inhoudt, is in dit opzicht een beetje te vergelijken met de financiële kennis die je van bestuurders en toezichthouders mag verwachten. Het verschil is: de wereld van technologie en cybersecurity verandert veel sneller en sterker dan alles wat met bedrijfsfinanciën te maken heeft. En omdat digitaal alles met alles verbonden is, is de impact van cyberincidenten op de organisatie – en niet zelden ook op de samenleving – vaak vele malen groter dan een tegenvallend boekjaar.

Onbewust onbekwaam
Het aantal bestuurders – maar ook het aantal medewerkers – met kennis op dit vlak moet omhoog. Permanente educatie is dus van belang. Dat bedoelen we letterlijk: trainen en opleiden, ook om de taal van de techniek te kunnen vertalen naar bedrijfsbeleid. Onvoldoende opleiding vormt dus ook een bedrijfs- en compliance-risico. Je kunt niet meer volstaan met de ciso een keer per kwartaal laten rapporteren dat er van de 20 incidenten 18 zijn opgelost. Bestuurders zullen zich moeten bekwamen in cybersecurity en dat eindigt niet bij de grenzen van de organisatie. Zij moeten zich ook vergewissen van de stand van zaken bij hun toeleveranciers.
Ciso’s en cio’s spelen een cruciale rol als het gaat om het leveren van de juiste (sturings)informatie aan bestuursleden, om hen in staat te stellen de juiste (investerings)beslissingen te nemen. Ze hebben de verplichting om richting hun medebestuurders en toezichthouders de vertaalslag te maken naar begrijpelijke, actuele en betrouwbare informatie.

Aan de slag in vijf stappen
Omdat NIS sinds 2016 bestaat, zullen vooral grotere vitale organisaties hun cyberweerbaarheid al hebben ingericht, waardoor ze intussen grotendeels compliant zijn. Maar bij de organisaties waarvoor NIS2 nieuw is (naar schatting meer dan 10.000 grote en middelgrote bedrijven) leeft de vraag wat NIS2 concreet betekent. Voor deze groep is het lastig te bepalen wat nu de juiste acties zijn en hoe je er een businesscase aan verbindt. Als u op dit vlak iets uitbesteedt aan een dienstverlener, wat mag u dan verwachten en waarvoor blijft u zelf verantwoordelijk?

Hoe kunt u na het lezen van dit artikel aan de slag gaan?
Stap 1: verkrijg met behulp van een NIS2-assessment gedetailleerd inzicht in de huidige situatie ten opzichte van de nieuwe verplichtingen en vergeet daarbij niet te kijken naar hetgeen u al hebt ingericht voor privacy, bijvoorbeeld het melden van incidenten.
Stap 2: kijk waar de gaten in de verdediging zitten en pak ze op gestructureerde wijze aan met behulp van een multidisciplinair team. Besef dat er ook inkooptechnische en juridische aspecten verbonden zijn aan de implementatie van NIS2.
Stap 3: organiseer boardroomtrainingen.
Stap 4: zorg (met behulp van awareness-trainingen) dat medewerkers medestanders worden in het creëren van cyberweerbaarheid.
En tot slot stap 5: richt cybersecuritymanagement ook in met betrekking tot de relaties en contracten met uw toeleveranciersketen. Trek samen op om de keten cyberweerbaar te maken, bijvoorbeeld door het uitwisselen van informatie.

Kansen
Het is een gemiste kans de NIS2-richtlijn alleen maar te zien als ‘nog meer regeldruk’. Er zijn ook kansen. Digitale weerbaarheid maakt een economie namelijk tot een safe place om zaken te doen en stelt ons in staat optimaal te kunnen innoveren, zodat we kunnen blijven meedoen op het wereldtoneel. Een bedrijf dat prioriteit geeft aan cyberweerbaarheid, verzekert zich van bedrijfscontinuïteit op dit vlak en kan innovaties en nieuwe processen op een veilige manier integreren. Bedrijven die compliant zijn en die op overnamepad zijn of zelf onderwerp van een overname zijn, kunnen veel meer vaart maken. Van de periode dat de General Data Protection Regulation (GDPR) werd ingevoerd, hebben we geleerd dat bij overnames of fusies de datahuishouding van het nieuwe onderdeel nog wel eens aanleiding kon zijn om een data-integratie uit te stellen – wat gevolgen kan hebben voor de vooraf bedachte synergievoordelen.

Hoe nu verder?
Omdat NIS2 een richtlijn is, moeten EU-lidstaten deze vertalen naar nationale wetgeving. De deadline hiervoor is 17 oktober 2024. Vanaf die datum moeten bedrijven en instellingen die onder de NIS2-richtlijn vallen, voldoen aan een reeks verplichtingen. Denk aan het uitvoeren van risicobeoordelingen, het voeren van adequaat beleid (van trainen en opleiden tot het regelen van passende IT-beveiliging) en het tijdig melden van incidenten bij de toezichthouder. Naar verwachting zal de aanpak van de toezichthouder vergelijkbaar zijn met die bij de GDPR. Ook vergelijkbaar zijn de boetes die opgelegd kunnen worden: tot 2 procent van de jaaromzet. Dat is te vergelijken met de gemiddelde financiële schade van een organisatie bij een ernstig geval van ransomware.

Gebruik uw tijd goed

Onlangs is bekend geworden dat de omzetting van NIS2 naar nationale wetgeving vertraging heeft opgelopen. Dit ontlokt soms de reactie ‘dat er nog genoeg tijd is’. Maar het overgrote deel – ga uit van 95 procent – van de NIS2-richtlijn is al bekend. Bestuurders kunnen zich dus al informeren over wat er afkomt op hun organisaties en zij zullen zich dan realiseren dat er tijd nodig is om hun organisatie compliant te maken. Denk aan het uitvoeren van een assessment, het implementeren van het beleid en het eventueel doen van investeringen. Tegenover de illusie van ‘wat extra tijd’ staat ook de realiteit dat er een tekort aan vakspecialisten is. Kortom, wie slim is, gebruikt de tijd die er nu is. Als er al extra tijd beschikbaar komt omdat de overheid een uitstel heeft aangekondigd, is dat een meevaller. Nu niet in actie komen wordt in ieder geval een tegenvaller.

Essay door Elly van den Heuvel, director cyber risk advisory bij Deloitte Nederland, en Simone Pelkmans, partner risk advisory bij Deloitte. Gepubliceerd in Management Scope 03 2024.

facebook