Nog één jaar en dan is het zover: bedrijven en organisaties die van vitaal belang zijn voor de maatschappij moeten per eind oktober 2024 voldoen aan de nieuwe ‘Network and Information Security’-richtlijn, ook wel bekend als NIS2. Deze richtlijn geldt bijvoorbeeld voor de gezondheidszorg, transportsector en energieaanbieders. Maar ook overheidsdiensten, waterbeheerbedrijven en digitale aanbieders moeten hieraan voldoen. 

Auteur: Dennis van Leeuwen | Solutions specialist Digital Workplace bij SoftwareOne

NIS2 heeft als doel de Europese digitale en economische weerbaarheid te verbeteren. De richtlijn zorgt voor een flink aantal wijzigingen op het gebied van cybersecurity. Organisaties waarop NIS2 van toepassing is, moeten voldoen aan Zorgplicht, Meldplicht en Toezicht. En pas op, als je niet aan NIS2 voldoet, loopt je risico op grote boetes en ben je bovendien persoonlijk aansprakelijk.

Het voldoen aan de nieuwe richtlijn is niet eenvoudig. Bovendien is er nogal wat informatie-‘ruis’ en gaan er onzinverhalen rond. Hieronder staan vijf veelvoorkomende misverstanden, plus een uitleg over hoe het nu echt zit.

1 - NIS2 implementeren kost veel tijd en geld

Dat kan, maar hoeft niet. Als de organisatie al werkt volgens een bepaalde ISO- of NEN-normering heeft het een grote voorsprong. Dan ligt de nadruk met name op de technische inrichting en de NIS2 Meldplicht. 

Als de organisatie niet hoeft te voldoen aan een ISO- of NEN-normering, is het toch belangrijk om de processen en technische inrichting goed te documenteren en regelmatig te evalueren. Vaak zijn collega’s al met een specifieke taak belast en kunnen zij in relatief korte tijd veel informatie uitschrijven. Een volgende stap is om de documentatie met regelmaat te controleren op actualiteit  zodat (cyber) incidenten ook sneller opgelost kunnen worden. Op de sites van De Digitaleoverheid, KvK en Ondernemersplein zijn veel gratis voorbeelddocumenten en tips te vinden. 

Veel organisaties hebben al een prima IT omgeving, maar zullen wel extra budget moeten inzetten om hun veiligheidsgraad te verhogen. Denk aan extra licenties, redundante techniek, kosten voor implementatie maar ook aan awareness trainingen en simulatietesten.

2 - Met NIS2 weet de overheid alles van mijn organisatie

Nee, dat klopt niet. Vanuit NIS2 heeft de overheid diverse expertise centers aangewezen, zoals o.a. CERT (Computer Emergency Response Team), voor het delen van kennis en het geven van advies. Ook treden zij op als meldpunt. Pas bij het constateren van een NIS2-incident geldt de meldplicht. Dan moet de organisatie een zo compleet mogelijk technisch gedetailleerd verslag uitbrengen. Het doel is om de impact van het incident, risico’s voor onze maatschappij en het economisch verkeer goed in te schatten. Het gaat dus alleen om technische informatie.

3 - NIS2 is een taak voor IT

Dit is onjuist. NIS2 raakt de hele organisatie. De afdeling IT is verantwoordelijk voor het uitvoeren van risicobeheersing en de bijbehorende techniek. Directie en management moet waken over de continuïteit van de organisatie en informatiesystemen. Zij hebben als taak om het beleid op te stellen, goed te keuren, te controleren en budget toe te kennen. 

Omdat cyberrisico’s bijna niet meer te verzekeren zijn, is het dus extra noodzaak om NIS2, en daarmee alle aspecten van mens-proces-techniek goed door te lichten. Dit raakt dus bijvoorbeeld ook de HR-afdeling, waar niet alleen awareness-trainingen worden geregeld, maar ook het tijdig doorgeven van uitdienstmeldingen zodat systeemrechten direct stopgezet worden. NIS2 helpt dus niet alleen om de (cyber)security te verbeteren. NIS2 kan het startpunt zijn om processen te optimaliseren en specifieke taken en verantwoordelijkheden intern te beleggen. 

4 - NIS2 zal leiden tot boetes

Ja, als NIS2 niet eind oktober 2024 volledig is ingericht, is de organisatie overtreding. Dit kan leiden tot een geldboete van een paar procent van de jaaromzet tot vele miljoenen. Als advies vanuit het CERT niet wordt opgevolgd, volgen er waarschuwingen en worden boetes verhoogd. Naast een geldboete geldt er ook persoonlijke aansprakelijkheid indien de verantwoordelijke functionaris (directie, management, hoofd IT, CISO, ..) bij herhaling geen verbetering doorvoert. Dit zou in uiterste geval kunnen leiden tot gevangenisstraf. Opgemerkt moet worden dat de wettelijke kaders hiervoor op dit moment nog niet geformaliseerd zijn. 

5 - NIS2 komt nu niet uit, het is beter te wachten op NIS3

Dit is heel onverstandig. Met NIS2 hebben de Europese Lidstaten een duidelijk signaal gegeven dat cyberrisico’s niet te onderschatten zijn en grotere schades opleveren. Vanuit NIS1 was het dekkingsgebied (scope, aantal sectoren/branches) nog beperkt, net als het mandaat. Met NIS2 zijn grote stappen gezet. Het is de verwachting dat binnen enkele jaren een verdere NIS2 verzwaring doorgevoerd gaat worden. Die zal dan mogelijk NIS3 gaat heten. Nederland, als zelfstandig Lidstaat binnen de EU, kan op specifieke onderdelen meer nadruk of urgentie doorvoeren, zoals Nederland dat ook heeft gedaan met de AVG. Om eventuele achterstand niet verder te laten oplopen is het advies serieus aan de slag te gaan met NIS2.