Zie NIS2 niet als tegenwind maar als wind mee

Hoe urgent is dit thema?

"NIS2 is eind 2022 vastgesteld en is onderdeel van een breder pakket aan Europese regelgeving. Het is goed om te beseffen dat er overlap zit in de verplichtingen die bedrijven krijgen onder de diverse nieuwe regels — dus ook dat er synergie valt te behalen door alle regelgeving die van toepassing is, mee te nemen in de analyse. Binnen dat palet is NIS2 de richtlijn om de digitale en economische veiligheid en weerbaarheid van de Europese lidstaten te versterken en de gevolgen van cyberincidenten te beperken. Deze richtlijn richt zich op de essentiële en belangrijke onderdelen van de Europese economie en samenleving. De afzonderlijke landen vertalen de richtlijn in eigen nationale regelgeving. Sommige landen zijn daar al klaar mee, maar Nederland gaat de omzetting van NIS2 in de Wet beveiliging netwerk- en informatiesystemen vóór de vastgestelde invoeringsdatum van 18 oktober niet halen. Toch weten we al waar we aan moeten voldoen, want NIS2 is oorspronkelijk geschreven als verordening. Dat betekent dat de materiële vereisten in ieder land vrijwel dezelfde zullen zijn. Dus iedereen kan nu al aan de slag."

 Wie betrek je erbij?

"NIS2 is om te beginnen een boardverantwoordelijkheid. Bestuurders, commissarissen, toezichthouders: zij moeten het belang van NIS2 begrijpen en ondersteunen. Directies moeten een beter begrip krijgen van cybersecurity in hun organisatie, betrokken zijn bij het formuleren van het beleid en het alloceren van middelen. Een andere voor de hand liggende partij: de Chief Information Security Officer. CISO's en hun IT-afdelingen zijn onmisbaar als het gaat om de informatiebeveiliging te waarborgen. Zij kunnen de NIS2-richtlijn vertalen naar specifieke maatregelen voor de organisatie. De IT-afdeling kan zorgen voor de technische implementatie van beveiligingsmaatregelen. En zij moeten weer samenwerken met het informatiebeveiligingsteam om ervoor te zorgen dat systemen en netwerken voldoen aan de nieuwe vereisten. Dan is er natuurlijk de juridische afdeling. Deze kan de NIS2-richtlijn analyseren en adviseren over de juridische implicaties voor de organisatie. Zij kunnen ook de beleidsdocumenten en contracten opstellen."

Zijn er nog andere partijen betrokken?

"Je kunt zeker ook denken aan de afdeling voor risk management. Het risicobeheerteam moet de risico's identificeren die je organisatie loopt met betrekking tot netwerk- en informatiesystemen. Zij kunnen helpen bij het prioriteren van beveiligingsmaatregelen. En dan zijn er de verschillende operationele afdelingen, zoals productie, logistiek en klantenservice. Het is goed om ook hen te betrekken bij het identificeren van kritieke systemen en processen. Zij kunnen input geven over de impact van beveiligingsmaatregelen op hun dagelijkse werkzaamheden. En vergeet de communicatieafdeling niet: bewustwording is een van de belangrijkste elementen in het creëren van cyberweerbaarheid. Dus communicatie naar interne en externe belanghebbenden is van groot belang, maar ook training van medewerkers. En in het geval van een incident is het essentieel dat de communicatieafdeling snel kan schakelen. De beste aanpak is in ieder geval nauw samenwerken in multidisciplinaire teams."

NIS2 een nieuwe stok om mee te slaan?
Integendeel, het is een hulpmiddel.

Waarom is die samenwerking zo belangrijk?

"Bij deze nieuwe ontwikkelingen komt er veel op ons af en geen mens kan in z'n eentje al die regels en hun consequenties overzien. Je hebt de verschillende expertises in de organisatie echt nodig om tot een samenhangend, omvattend en goed onderbouwd plan te komen. Bij Deloitte bijvoorbeeld werkt mijn Digital Regulations team samen met de mensen van cyber strategy, met de juridische specialisten, met onze CISO én onze CTO. Daarnaast geven we bijvoorbeeld ook interne trainingen, om te zorgen dat de belangrijkste elementen ook dieper in de organisatie doordringen."

Waar kun je het best mee starten?

"Inventariseer eerst wat je al hebt. Welke plannen, strategieën, afspraken en middelen zijn al aanwezig die bijdragen aan onze cyberweerbaarheid? Hebben we al een risicomanagementsysteem? Vinden we dat systeem goed genoeg of zien we inmiddels al nieuwe risico's waar we ons eerder nog niet bewust van waren? Kijk vervolgens naar: wat zijn voor ons de grootste risico's? Op basis van zo'n assessment krijg je in beeld waar eventuele gaten zitten. Formuleer dan je strategie: hoe ga je die gaten dichten? Welke pak je als eerste aan? En wat ik ook vaak adviseer: benoem óók waarom je bepaalde dingen nog niet doet. Je kunt nu eenmaal niet alles tegelijk aanpakken, dus zet ook op papier waarom bepaalde zaken een lagere prioriteit hebben gekregen. Dat maakt het proces, bijvoorbeeld ook voor een toezichthouder, in ieder geval inzichtelijk."

Heeft NIS2 alleen consequenties voor internationaal operende bedrijven?

"Nee, dat is een misverstand. Wel is het zo dat het voor internationale bedrijven complexer kan zijn om een eenduidig beleid te formuleren. Zo zul je bijvoorbeeld de bottom-up input van de individuele landen nodig hebben om in beeld te krijgen hoe de verschillende landen ervoor staan. Hoe volwassen zijn de cyberbeveiliging en de weerbaarheid per land? Zo moet je ook goed in kaart hebben: wat is de scope van je organisatie en wat zijn de verschillende activiteiten per lidstaat? Denk aan een producent van levensmiddelen die in het ene land producten op de markt brengt, maar in het andere land alleen het transport daarvan verzorgt. Het zijn kwesties die niet alleen spelen bij Nederlandse bedrijven met buitenlandse vestigingen maar bijvoorbeeld ook bij niet-Europese bedrijven die in de EU actief zijn. Of stel, je hebt recent een bedrijf overgenomen dat nog min of meer zelfstandig opereert. Ook in die situatie is het belangrijk dat je een duidelijk beeld hebt van de stand van zaken daar. Zitten zij op hetzelfde niveau als het gaat om cybersecurity of wijkt dat juist af? Pas als je dat weet kun je ook besluiten welke maatregelen je moet treffen."

Tot slot. Hoe kijk je zelf tegen NIS2 aan?

"Ik snap dat mensen een zekere Pavlovreactie kunnen hebben: 'Nederland is nog niet klaar met de invoering van deze regels, dus we kunnen rustig afwachten'. Maar dan mis je een grote kans. Cybercrime staat tegenwoordig niet voor niks bij de meeste organisaties in de top drie van grootste risico's. Uiteindelijk zijn de nieuwe regels bedoeld om organisaties weerbaarder te maken en we zullen er hoe dan ook aan moeten voldoen. Dus voorkom haastwerk dat waarschijnlijk ook nog duurder uitpakt en benut juist de extra tijd die je nu nog hebt. Ik benader het liever positief. NIS2 helpt je bedrijf veiliger te maken en gezonder. Het kan je ook naar een hoger kennisniveau brengen. En het is zeker geen stok om mee te slaan. Integendeel, het is een effectief hulpmiddel. Zie het als wind-mee in plaats van tegenwind."