Uitstel NIS2-implementatie betekent beslist geen adempauze

Veel of héél veel werk aan de winkel

De Europese cybersecurityrichtlijn NIS2 moet uiterlijk op 17 oktober 2024 door alle EU-lidstaten zijn vertaald naar nationale wetgeving. Demissionair minister van Justitie en Veiligheid Dilan Yeşilgöz-Zegerius heeft nu bekendgemaakt dat Nederland dit niet haalt: het wetgevingstraject is complexer dan verwacht. Toch roept zij organisaties op hun voorbereidingen onverminderd voort te zetten.  

Frank Voskeuil, divisiedirecteur Security & Networking van Cegeka Nederland, sluit zich daar volledig bij aan: “Compliant worden heeft veel om handen. Zelfs als je cybersecurityvolwassenheid op en top is, moet je een hoop aanvullende maatregelen nemen. Denk aan beleid en procedures waarmee je de meldplicht vormgeeft en het waarborgen van veiligheid binnen je toeleveringsketen. Sta je als NIS2-gereguleerde organisatie nog aan het begin van je compliance-journey? Dan heb je helemáál veel werk aan de winkel en geen moment meer te verliezen.” 

Tal van maatregelen binnen een handvol dimensies

De richtlijn legt 'essentiële' en 'belangrijke' organisaties een zorgplicht en een meldplicht op. De zorgplicht betekent dat je ‘passende en evenredige’ securitymaatregelen moet nemen binnen onder meer de technische, organisatorische, juridische en menselijke dimensie. De richtlijn noemt tien (breed geformuleerde) aandachtsgebieden, waaronder beleid voor risicoanalyse, kwetsbaarhedenbeheer, basispraktijken voor cyberhygiëne en beveiliging van de toeleveringsketen.  

De meldplicht betekent dat je belangrijke security-incidenten binnen 24uur moet melden bij de toezichthouder, maar eventueel ook bij partners in de keten en klanten. 

'Maatregelen zijn onmogelijk te onderschatten'

“De maatregelen die je moet nemen om compliant te worden, kunnen onmogelijk worden onderschat”, stelt Voskeuil. “Eisen zoals security awareness-trainingen voor je medewerkers zijn relatief eenvoudig en snel te realiseren. Het gros van de organisaties moet echter ook één of meerdere maatregelen treffen die veel tijd kosten. Denk naast technische maatregelen ook aan het opstellen van beleid, procedures en processen op het vlak van incidentrespons, bedrijfscontinuïteit en disaster recovery.” 

Veiligheid in de toeleveringsketen

De toenemende digitale verwevenheid tussen organisaties vergroot de cyberdreigingen vanuit de supply chain. Een kwetsbaarheid bij een partner kan leiden tot een security-incident bij jou. De beroemde SolarWinds-hack van 2020 is hiervan een goed voorbeeld.  

Digitale veiligheid in de supply chain waarborgen: het is in de regel een noviteit voor NIS2-gebonden bedrijven. Het betekent dat je cyberrisico’s bij leveranciers en andere partners actief moet beheersen en mitigeren. Dit kun je vormgeven via contracten. Daarin staat bijvoorbeeld dat de partner in kwestie moet voldoen aan bepaalde technische vereisten en verplicht is om mee te werken aan (periodieke) security assessments.  

Urgentie om compliant te worden blijft 

Voskeuil: “Veel maatregelen vragen om support van het hogere management en de inbreng van meerdere afdelingen. Door dit soort factoren red je het niet om met z’n allen een weekje te buffelen. Veel NIS2-vinkjes die je moet zetten, kosten je eerder een kwartaal dan een week.” 

De Nederlandse implementatie van NIS2 is uitgesteld en het ministerie geeft toe dat naleving tot de inwerkingtreding van de Nederlandse wetgeving niet wettelijk afdwingbaar is. De urgentie om compliant te worden neemt er echter niet door af. Niet alleen vanwege de aanzienlijke tijdsinvestering, maar ook omdat het cyberdreigings- én het digitaliseringsniveau met de dag groeien. En daardoor ook de noodzaak voor adequate cybersecurity. 

Voskeuil: “Sommige organisaties lijken NIS2 te zien als een afvinklijstje. De richtlijn is een aardige stok achter de deur, maar compliant worden doe je vooral voor jezelf. Het zorgt voor cyber resilience en biedt ook de kans om meer uit jouw cyber security investeringen te halen. Compliant zijn zorgt voor bedrijfscontinuïteit en minder kans op risico’s en allerlei soorten schade.” 

Anticiperen op 'NIS3'

NIS2 verankert feitelijk alleen beveiligingsnormen en best practices die moderne bedrijven de afgelopen jaren al geïmplementeerd zouden moeten hebben, benadrukt Voskeuil: “De richtlijn is vooral een minimum voor de huidige situatie en een kans om meer uit je security investeringen te halen. Wij richten ons al meer op ‘NIS3’. Hoe kunnen we anticiperen op toekomstige cybersecurityontwikkelingen? Dat vraagt om een proactieve benadering. En om een veerkrachtige en flexibele cybersecurity-infrastructuur die je snel kunt aanpassen aan nieuwe uitdagingen of aan je bedrijfsdoelstellingen.” 

Roadmap naar compliance

Een logische eerste stap op het pad naar NIS2-compliance is een security assessment. Het Cyber Security Advisory Framework is de basis voor een uitgebreide en gedetailleerde beoordeling van je securitylandschap en de mogelijke risico’s. De cybersecurity-experts van Cegeka kunnen vervolgens – in close cooperation – een roadmap met je opstellen die leidt tot NIS2-compliance. Maar ook, mee nadenken over je toekomstige cybersecurity-inrichting met een gedegen aanpak. Wil je hier meer over weten? Neem dan contact op met één van onze cybersecurity-experts.