Overheidsorganisaties kunnen al aan de slag met NIS2

Om te beginnen, hoe past NIS2 in het grotere plaatje?

Er komt een flinke portie nieuwe Europese digitale regelgeving op ons af. Een aantal jaar geleden hadden we de Algemene Verordening Gegevensbescherming met het doel om de privacyrechten van burgers te verstevigen en daar worden nu verordeningen op het gebied van platformregulatie, de Digital Markets Act en de Digital Services Act aan toegevoegd. Daarnaast is er binnen Europa overeenstemming bereikt over de Artificial Intelligence Act en zijn er wetten rondom cyberweerbaarheid. NIS2 is er daar één van, specifiek gericht op het verstevigen van de cyberbeveiliging en de weerbaarheid in kritieke sectoren binnen de lidstaten.

Is NIS2 dan de zoveelste portie regels?

"Ik snap dat het voor overheden en bedrijven zo kan voelen. Er moet inderdaad veel gebeuren, en voor veel mensen komt dat voor hun gevoel boven op de bestaande werkzaamheden. Maar tegelijk is het ook onvermijdelijk, zeker als we de bedreigingen van de afgelopen jaren zien op digitaal gebied. We moeten nu in actie komen. De nieuwe Europese regels dienen als basis voor een nieuwe Nederlandse wet rondom digitale veiligheid. Daar wordt momenteel aan gewerkt. Vooralsnog wordt die wet voor de zomer ter consultatie aangeboden. Maar daar hoeven we zeker niet op te wachten. De richtlijn geeft heel duidelijk aan wat er moet gebeuren."

Wat zijn de belangrijkste veranderingen?

"Heel in het kort: vergeleken met de huidige NIS omvat de nieuwe richtlijn meer sectoren, waaronder de sector Overheid. Ze stelt strengere normen voor digitale beveiliging en er komt een meldingsplicht voor incidenten. Organisaties moeten zelf actie ondernemen op het gebied van hun cyberweerbaarheid. Doe je dat niet, dan kan dat gevolgen hebben voor de continuïteit: niet alleen van je eigen organisatie, maar ook van andere organisaties in de keten waar je deel van uitmaakt. Het is de EU serieus, want als bestuurder kun je persoonlijk aansprakelijk worden gesteld en als bedrijf hoge boetes krijgen. En goed om te weten: NIS2 kijkt niet naar geïsoleerde systemen of organisaties, in de vernieuwde visie zit de kwetsbaarheid van cyberbeveiliging juist ook tussen verschillende netwerken, organisaties, leveranciers en andere partners. Dus ook ketenpartners gaan eisen dat je voldoet aan de nieuwe wetgeving. En omgekeerd: je moet zelf ook eisen aan je leveranciers gaan stellen."

Moeten we niet wachten op de Nederlandse wet?

De sector Overheid is een voorbeeld van een nieuwe sector die onder NIS2 valt. NIS2 geldt zowel voor de rijksoverheid als gemeenten. En weliswaar gingen er bij de VNG aanvankelijk stemmen op om eerst te wachten op meer duidelijkheid en de vernieuwde Baseline Informatiebeveiliging Overheid, maar er is toch per direct werk aan de winkel. En dat is lang niet altijd eenvoudig, zeker niet voor kleinere gemeenten.

Kunnen overheden elkaar helpen?

"Dat kan zeker. Even een zijstapje naar het bedrijfsleven: in de praktijk zie ik dat veel bedrijven wel willen, maar niet altijd weten hoe ze het moeten aanpakken. Zij vragen zich af 'Wanneer doen we genoeg? Waar halen we de mensen vandaan die dit voor ons kunnen oppakken?' En een valkuil die maar al te menselijk is: heb je eenmaal een externe partij ingeschakeld, dan voelt het alsof je de verantwoordelijkheid voor je cyberveiligheid uit handen hebt gegeven. Gelukkig zien we steeds vaker dat organisaties elkaar helpen. Dat is óók nodig in de overheidssector, en tussen bedrijfsleven en overheden."

Voor cyberweerbaarheid
is samenwerking essentieel.
Niemand kan dit alleen.

Heeft dat te maken met de veiligheid in de toeleveringsketen?

"Absoluut. NIS2 spreekt nadrukkelijk over de keten van toeleveranciers en afnemers. Overal waar je met partners samenwerkt ligt nu duidelijker dan voorheen een verantwoordelijkheid: je zult dus ook zelf moeten checken of zij voldoen aan de vereiste beveiligingscriteria. En je moet ook nadenken over alternatieve leveranciers, voor het geval een partij niet voldoet aan jouw eisen. Cyberweerbaarheid is een multidisciplinaire zaak, betrek bijvoorbeeld de afdelingen voor inkoop, juridische zaken en communicatie bij de implementatie van NIS2. Intern en extern is samenwerking meer dan ooit essentieel. Niemand kan dit alleen. Je zult met elkaar aan een solide en professionele structuur moeten werken en voldoende vertrouwen moeten opbouwen. Maar vergeet niet: al deze ontwikkelingen bieden ook nieuwe kansen."

Waar liggen de kansen die NIS2 biedt?

"De laatste jaren staat het vertrouwen van de burger in de overheid zwaar onder druk. Daar staat tegenover: overheden die nu hun digitale zaken goed op orde hebben, die zorgvuldig met gegevens omgaan, dragen bij aan het herstel van vertrouwen. En een tweede kans ligt op het vlak van innovatie. Is de digitale basis eenmaal op orde, dan wordt het toepassen van nieuwe technologieën eenvoudiger en doeltreffender. Overheidsinstanties bieden steeds meer dienstverlening digitaal aan, iedereen is gaan mailen, appen, chatten. De nieuwe ontwikkelingen gaan razendsnel, eigenlijk zijn we permanent aan het innoveren. En een houtje-touwtje benadering van bijvoorbeeld AI... ja, dat gaat natuurlijk niet werken. Wil je al die vernieuwingen in goede banen leiden, dan is het essentieel dat je ook de digitale beveiliging goed voor elkaar hebt. Alleen dan kun je succesvol innovaties omarmen."

Hoe ziet de nabije toekomst eruit?

"Oorspronkelijk was het de bedoeling dat de Nederlandse versie van NIS2 in oktober dit jaar van kracht zou worden. Dat gaan we in Nederland niet halen, we koersen af op begin 2025. Toch kun je, zoals gezegd, aan de slag. Dat is ook hoe de toezichthouders ernaar zullen kijken. Zij staan heus niet meteen de volgende dag bij je op de deur te kloppen. Je hoeft dus niet per direct aan alle eisen te voldoen. Maar je moet wel degelijk kunnen aantonen dat je serieus zaken in gang gezet hebt. En natuurlijk is het uiteindelijk wel zo dat wie niks doet, stevige sancties kan verwachten. Dus mijn belangrijkste boodschap is: maak nu een goed plan van aanpak.

Wat kunnen overheden nu al praktisch oppakken?

"Je kunt al enorm veel doen. Zo is artikel 21 van de richtlijn al behoorlijk duidelijk over maatregelen die je moet nemen. En twijfel je of je onder NIS2 valt? Ga dan naar de website van de Rijksinspectie Digitale Infrastructuur, daar staat een praktische tool om dat te checken. Daar vind je ook een quickscan die je helpt bij de voorbereiding op NIS2. Verder: verdiep je in de materie. Laat een NIS2 readiness assessment uitvoeren. Waar sta je ten opzichte van de wettelijke vereisten? Wat moet er nog worden opgepakt? En wat zijn dan de prioriteiten? Maar ook een NIS2 boardroomtraining is nu al op zijn plaats. De leden moeten in hun eigen kennis en kunde investeren zodat ze gefundeerde beslissingen kunnen nemen, zoals: waar willen of moeten we in investeren?
En zo zijn er nog veel meer praktische zaken. Check de contracten met je huidige leveranciers. Staat daar duidelijk omschreven wat je van elkaar verwacht en waar je op mag rekenen? Bedenk ook dat het om méér gaat dan wat een CISO kan doen. Kies voor een multidisciplinaire aanpak en haal bijvoorbeeld de afdelingen Inkoop en Communicatie erbij. Pak het multidisciplinair aan, dan maak je de meeste impact. Kom je er niet uit? Bel ons, bij Deloitte denken we graag met je mee. Overigens, NIS2 zou niet eens de voornaamste reden moeten zijn om hiermee aan de slag te gaan: het versterken van de cyberweerbaarheid is sowieso in het belang van de organisatie. Dus stroop je mouwen op en begin vandaag."