Consultatie wetsvoorstel implementatie NIS-2 richtlijn leidt tot veel vragen.

De Network and Information Systems Directive 2 (NIS2) is de nieuwe cyberbeveiligingswetgeving voorgesteld door de Europese Unie met als doel de algehele cyberveiligheid in de EU te versterken. Het is de opvolger van de eerste NIS-richtlijn en breidt het aantal entiteiten (organisaties) dat onder deze richtlijn valt aanzienlijk uit.

Zoals bij de eerste NIS-richtlijn is gebeurd met de Wbni dient de NIS2-richtlijn ook omgezet te worden naar nationale wetgeving. Tijdens dit proces heeft er een consultatie plaatsgevonden voor belanghebbenden zoals aanbieders van diensten met vitaal belang voor de maatschappij en economie, ministeries, toezichthouders en uitvoeringsorganisaties.

Deze consultatie heeft 111 openbare reacties opgeleverd waaruit blijkt dat er nog veel onduidelijkheden en pijnpunten zitten aan dit voorstel. In dit artikel zullen we een drietal vaak terugkerende pijnpunten behandelen.

Er is hier een groot verschil tussen zogenaamde essentiële organisaties en belangrijke organisaties. Essentiële organisaties kunnen op meerdere momenten gecontroleerd worden en belangrijke organisaties alleen na een incident of signaal.

 

Dit betekent een enorme druk op essentiële organisaties niet alleen voor de implementie maar ook voor controle, auditing en rapportage. Dit zal de nodige werkuren vragen waarbij de tekorten op de arbeidsmarkt zwaar zullen wegen op de implementatie en handhaving van deze richtlijn. Cybersecurity is immers een complex vakgebied.

Omdat organisaties kunnen kiezen voor een eigen invulling voor wat betreft de maatregelen voor het beheersen van risico’s kan er onduidelijkheid ontstaan over de weerbaarheid van een organisatie. 

Door een eigen invulling is dit moeilijk eenduidig te auditen door de instanties en andere organisaties. Wanneer voldoet een leverancier nu eigenlijk en wanneer is deze veilig te noemen?

 

Eigenlijk is dit een altijd terugkerende vraag bij de implementatie van normen. Certificering betekent het afvinken van bepaalde eisen en betekent niet dat organisaties daadwerkelijk “veilig” zijn.

Deze nieuwe maatregelen vergen van organisaties flinke investeringen in zowel tijd, geld en mensen. In de praktijk valt te constateren dat organisaties die in mindere mate te maken hebben met bijzondere Persoonlijk identificeerbare informatie (PII), zoals bijvoorbeeld medische gegevens, vaak nog niet de noodzaak zien van dergelijke maatregelen. 

 

Buiten het feit dat het management soms onvoldoende nog het belang ziet van dergelijke investeringen (dit komt meestal pas als het te laat is) kan niet elke organisatie makkelijk deze verhoogde lasten dragen.

 

Men denkt dat de IT-aanbieder dit wel allemaal geregeld heeft en gaat voorbij aan als mensen (awareness, training) en processen. Toch zullen aanzienlijke investeringen noodzakelijk zijn en zal dit bij sommige organisaties een probleem gaan vormen.

Kijkende naar recente ontwikkelingen zoals bijvoorbeeld de CSRD (Corporate Sustainability Reporting Directive) en de NIS2-richtlijn is er zeker sprake van een enorme toename van regeldruk met bijbehorende kosten maar dit doet geen afbreuk aan het feit dat elke stimulatie tot meer cyberweerbaarheid zeer welkom is. 

Dit geldt ook in meer of mindere mate voor de openheid van de norm. Gezien de huidige stand van zaken kan de trein maar beter gaan rijden al moet de route nog wat worden aangescherpt in een AMvB (Algemene Maatregel van Bestuur). Het bezig zijn met de weerbaarheid en veiligheid van de eigen organisatie biedt meer dan stilzitten.

Voor de kleinere bedrijven geldt over het algemeen een wat minder stringent regime bij de meeste regelgeving en sommige regels zijn zelfs helemaal niet van toepassing. Dit neemt niet weg dat er binnen de keten (bijvoorbeeld door klanten) steeds meer vraag komt naar aantoonbaarheid op bepaalde gebieden, zelfs indien het bedrijf hier vanuit de overheid niet toe verplicht is.

Op kleinere schaal vinden er al experimenten en pilots plaats met subsidies en we hopen dat dergelijke projecten toekomstig breder worden uitgerold. Voor wat betreft het MKB geldt in ieder geval het “doe wat je kan” – principe. Binnen StackSecure voeren wij bijvoorbeeld scans uit die een organisatie in ieder geval in de juiste richting kunnen helpen.

Wilt u eens sparren over de deelgebieden waar onze StackSecure consultants u kunnen ondersteunen of ontzorgen? Neem dan vrijblijvend contact op via de chat of het contactformulier.