Eind januari maakte minister Yeşilgöz bekend dat de uitwerking van de Europese NIS2-richtlijn in onze nationale wetgeving is vertraagd. Naar goed Nederlands gebruik, mogen we bijna wel zeggen. Voor veel mensen zal dit overkomen als uitstel. In dit artikel benadrukken cybersecurity-expert Brenno de Winter en opleider Emile Kok dat er geen sprake kan zijn van uitstel: integendeel!
De tweede versie van de Europese Netwerk en Informatie Beveiliging Richtlijn (NIS2) wordt op 17 oktober dit jaar van kracht. Ongeacht of een en ander nu wel of in de Nederlandse wetgeving is opgenomen. “Nederland moet op 17 oktober voldoen,” zegt Brenno de Winter matter-of-fact. “NIS2 gaat dan gewoon in en dat wij de Europese richtlijn nog niet in onze wetgeving hebben omgezet, betekent niet dat Nederland die plicht niet meer heeft. Het is nog steeds een opeisbaar recht. Veel mensen zullen vanwege dit uitstel achterover gaan leunen, vanuit de gedachte dat er meer tijd is om je op NIS2 voor te bereiden. Maar in feite voert het de druk om tijdig klaar te zijn alleen maar op.”
Emile Kok, Managing Director van opleidingsinstituut TSTC is het daar volmondig mee eens. “Het is essentieel om nu al met NIS2 bezig te zijn. Anders overvalt het je straks en moet je concluderen dat je achterloopt. Je moet er nu eigenlijk al mee bezig zijn.”
Geen bangmakerij
Onlangs startte TSTC dan ook met de 2-daagse training ‘Managing NIS2’. “Samen met trainer Michiel Benda hebben we een jaar gewerkt aan deze training. Met NIS2 gaat het er nu juist om dat we het management in beweging krijgen, zonder bangmakerij. Daarom hebben we deze training laagdrempelig gehouden. Onze 5-daagse NIS2-training is voor de meeste managers een te grote investering qua tijd. Daarom creëren we in relatief korte tijd iets van waarde waar de deelnemers direct mee aan de slag kunnen in hun organisatie.”
Brenno is een groot voorstander van gedegen cybersecuritytraining. “Echte, zinvolle certificering geeft NIS2 de status die het toekomt,” zegt hij. “Daarom vind ik het ook belangrijk als een training kan worden voltooid met een examen en erkende certificering. We moeten niet vergeten dat cybersecurity met NIS2 het verhaal van de manager is geworden. Eigenlijk was het altijd al een businessvraagstuk, maar dat is met deze richtlijn nu officieel geworden. Sterker nog, als NIS2 niet aanwezig is in de bestuurskamer, mag je als bestuur niet eens meer opereren. Het is een harde verplichting.”
Bestuurdersaansprakelijkheid
Een van de belangrijke wijzigingen vergeleken met NIS1 staat in artikel 32, lid 6 van Richtlijn. De bepaling die in dit artikel is opgenomen, stelt dat iedere bestuurder van een organisatie wettelijk bevoegd dient te zijn om security-maatregelen te nemen en dat deze bestuurders aansprakelijk kunnen worden gesteld wanneer zij de NIS2-richtlijn niet naleven. Dat gaat dan om aantoonbaar wanbeleid ten aanzien van cybersecurity, maar het is evident dat de boardroom zich niet langer afzijdig kan houden.
Huiswerk
Mensen kunnen na de 5-daagse training examen doen, waaraan de certificering NIS2 Lead Implementer van het internationaal erkende instituut PCEB is gekoppeld. “Voor de nieuwe 2-daagse training wordt momenteel een examen ontwikkeld,” vertelt Emile. “Waarschijnlijk zal de NIS2-certificering daarvoor via EU-OCI verlopen. Vaak is alleen dat papiertje belangrijk voor cursisten. Toch stimuleren wij actieve betrokkenheid bij het vakgebied. De deelnemers aan Managing NIS2 krijgen huiswerk mee. Met behulp van een GAP-analyse krijgen ze overzicht van de aandachtsgebieden voor hun organisaties, waarmee ze aan de slag kunnen.
Een flinke klus
“Dat examen is echt belangrijk,” haakt Brenno aan. “Meer dan ooit gaat business continuity management een rol spelen. Zelfs als je voldoet aan de diverse ISO-normen, moet je toch een paar tandjes bijzetten. En je moet nu kunnen bewijzen dat je op alle onderdelen voldoet. Ik noem alleen maar supply chain management. Het is echt een flinke klus om dat op orde te krijgen. Je kunt niet meer naar een plek in de keten wijzen en zeggen, ‘Het is niet mijn probleem, zij hadden hun boel niet op orde’. Nee, jij bent de partij die zaken doet, dus jij moet ervoor zorgen dat het over de hele keten in orde is. Natuurlijk zijn daar de nodige tools voor beschikbaar, maar daar kun je niet 100 procent op vertrouwen. Ook zijn er online van die NIS2-scans, maar veel daarvan is echt onbruikbaar. Waar het hier om gaat, is het commitment van het management. Jij wilt niet die bestuurder zijn die vanwege slechte cybersecurity door de wetgever wordt aangepakt. Niet alleen is de schade voor de organisatie niet te overzien, maar jouw eigen carrière is ook voorbij. Of je het leuk vindt of niet, cybersecurity is Chefsache geworden.”
Lees ook:
- Stappenplan: wat te doen bij een supply chain-aanval
- Zorgen bij bedrijfsleven om impact NIS2
