De Baseline Informatiebeveiliging Overheid (BIO) is nog maar net over de publieke organisaties uitgestrooid, of de richtlijn NIS2 staat al voor de deur. Welke uitdagingen komen op de CISO af en hoe verhoudt zich de regelgeving tot ISO27001?
Over een kleine 18 maanden wordt NIS2 de door de EU voorgeschreven richtlijn. Net zoals de GDPR in elk land een meer lokale invulling kon krijgen – in Nederland in de vorm van de AVG – zo zal ook NIS2 nationale elementen bevatten. Al is het wel een uitdaging dat anderhalf jaar voor de invoering eigenlijk nog niets bekend is over de concrete regelgeving.
Technische insteek
Wie de BIO en NIS2 naast elkaar legt, ziet op het eerste gezicht veel overeenkomsten maar ook een verschil. NIS staat voor Netwerk- en Informatiesystemen, wat doet vermoeden dat het vooral een technische insteek zal hebben. Op dit moment volgen gemeentelijke organisaties met name de BIO, dat een uitgebreid palet aan onderwerpen op technisch én organisatorisch vlak adresseert. En, heel belangrijk, BIO is nadrukkelijk een VNG-instrument. Dit betekent dat binnen de gemeentelijke structuur de Colleges van Burgemeester en Wethouders zich eraan conformeren. Dit geeft de gemeentelijke informatiedeskundigen en CISO’s ruimte om beleid te formuleren.
NIS2 is nog met veel onzekerheid omgeven. Zo leek het er aanvankelijk op dat de richtlijn niet voor publieke organisaties als gemeenten zou gelden, een positie die later door Staatssecretaris Van Huffelen werd gewijzigd. Anderzijds is de BIO op dit moment ook nog niet helemaal omgezet in formele wetgeving, met audits en sancties. Wel wordt nu al het voldoen aan de BIO beoordeeld bij de accountancyverklaring.
Veel overlap
Er zijn genoeg signalen in de markt dat NIS2 en BIO elkaar in veel opzichten overlappen. Dat zagen we eerder in zekere zin ook in de relatie tussen AVG en GDPR. Deze overlap is voor veel IT-managers en CISO’s binnen publieke organisaties een teken dat NIS2 de Europese ‘moeder’ kan worden voor de Nederlandse BIO. Dat zou goed zijn, vindt men. Immers, het is voor veel globale leveranciers bijna ondoenlijk om te voldoen aan landelijke regelgeving. Wanneer een vendor echter voldoet aan de overkoepelende NIS2 – en daarmee dus de facto aan de regels van elk land binnen de EU – ontstaat voor alle partijen een voordeel. Bovendien krijgen de publieke organisaties hierdoor een bredere range aan leveranciers en producten om uit te kiezen. Grote aanbieders aarzelen momenteel namelijk sterk om het BIO-beleid om te zetten in specificaties van hun diensten of producten.
Goede stap
Wie de NIS2-conceptregelgeving goed leest, ziet sterke overeenkomsten met de bepalingen in de ISO27001, bij uitstek de richtlijn waarop leveranciers door overheidsorganisaties worden aangestuurd. Niet alleen bij de aanschaf van hardware, applicaties of diensten (al dan niet binnen een Europese aanbesteding), maar zeker ook als het gaat om SLA’s en verantwoordlijkheden. NIS2 kan in die vorm het leveranciersmanagement aanmerkelijk vereenvoudigen.
Lees ook:
- Alles draait om de user experience
- Datacenters fundamenteel voor Nederlandse economie
