Jean Paul van Schoonhoven, een gerespecteerd spreker en docent bij Outvie, deelt zijn inzichten over het aankomende Dataprotectie en Privacy Actualiteitencongres. We spraken met hem over de belangrijkste onderwerpen die tijdens het actualiteitencongres aan bod zullen komen, waaronder de NIS2-richtlijn, artikel 32 van de AVG, en de relatie met normenkaders zoals ISO 27001, NEN 7510 en de BIO.
NIS 2: Waarom nu al beginnen?
Jean Paul benadrukt het belang van vroegtijdige voorbereiding op de NIS2-richtlijn. “De NIS2 wordt uiteindelijk opgenomen in de Nederlandse wetgeving. Hoewel Nederland wat achterloopt, is het slechts een kwestie van tijd voordat het nationale wet wordt,” legt hij uit. De richtlijn is bedoeld om de beveiliging van netwerk- en informatiesystemen te versterken, en alle organisaties die onder de Wet beveiliging netwerk- en informatiesystemen (Wbni) vallen, zullen hieraan moeten voldoen.
“Ook als je niet direct onder de NIS2 valt, is het verstandig om alvast maatregelen te nemen. Dit helpt bij het opbouwen van een solide reputatie en kan in de toekomst van pas komen, bijvoorbeeld wanneer de reikwijdte van de regelgeving wordt uitgebreid,” voegt Jean Paul toe. “Vroegtijdige voorbereiding voorkomt ad-hoc aanpakken, wat vaak duurder is en kan leiden tot paniekvoetbal binnen de organisatie. Door nu al te beginnen, kan men geleidelijk aan implementeren en de kosten spreiden.”
Artikel 32 AVG en NIS2: een vooruitblik
Er is een directe link tussen NIS2 en artikel 32 van de AVG, volgens Jean Paul. “NIS2 gaat breder dan de AVG omdat het niet alleen persoonsgegevens betreft, maar alle informatie binnen een organisatie. Artikel 32 van de AVG vereist passende beveiligingsmaatregelen ten aanzien van persoonsgegevens, wat echter een open norm is. NIS2 specificeert vervolgens concreet wat passende beveiliging inhoudt voor de gegevens die onder de AVG vallen.”
Hij benadrukt dat organisaties die al voldoen aan ISO-normen of de BIO, waarschijnlijk al grotendeels voldoen aan de vereisten van NIS2. “Dit betekent niet dat een ISO-certificering leidt tot de conclusie dat je ook NIS2-compliant bent, maar het legt wel een goede basis. NIS2 voegt namelijk extra elementen toe die niet onder de ISO-certificering vallen. Voor organisaties zonder zo’n structuur kan het relevant zijn om te beginnen met de implementatie van een Information Security Management System (ISMS), zodat voldoen aan NIS2 eenvoudiger wordt.”
Normenkaders en toekomstbestendigheid
Jean Paul benadrukt het belang van normenkaders zoals ISO 27001, NEN 7510 en de BIO voor de toekomstige naleving van regelgeving. “Als je deze normen al hebt geïmplementeerd, is het toevoegen van NIS2 vaak een routinematige handeling. Voor organisaties zonder deze fundamenten is het echter een grotere uitdaging. Daarom raad ik aan om te beginnen met een ISMS, wat de bouwsteen is voor alles wat je moet doen op het gebied van informatiebeveiliging.”
Hij legt uit dat een ISMS de onderliggende routines en processen vastlegt die nodig zijn om aan de steeds strenger wordende eisen te voldoen. “Het gaat niet om het simpelweg afvinken van verplichtingen, maar om het bouwen van een robuuste en toekomstbestendige bedrijfsvoering. Het creëren van een olifantenhuid zodat je niet bij het eerste krasje doodbloedt.”
Intrinsieke motivatie en toekomstvisie
Jean Paul benadrukt dat het naleven van NIS2 en andere regelgeving niet moet worden gezien als een verplichting, maar als een logische stap richting een toekomstbestendige bedrijfsvoering. “Informatiebeveiliging is essentieel in een moderne, connected society. Het gaat om het waarborgen van continuïteit en het voorkomen van verstoringen. Je wil zonder afleiding door kunnen gaan met je primaire bedrijfsprocessen.”
Hij waarschuwt dat organisaties die alleen voldoen aan de minimale eisen risico lopen op reputatieschade, hoge herstelkosten en sancties van toezichthouders. “Het draait om intrinsieke motivatie. Je moet robuust willen zijn en daarbij tenminste willen voldoen aan de wet omdat het bijdraagt aan de veerkracht en duurzaamheid van je organisatie.”
Diepgaande inzichten en praktische tools
De conferentie biedt een diepgaand inzicht in de implementatie en naleving van de NIS2-richtlijn, artikel 32 van de AVG en de integratie van verschillende normenkaders. “Het doel is om deelnemers te inspireren en hen de tools te geven om deze complexe materie effectief aan te pakken. Als het besef bij de toehoorders is ingedaald dat je niet alleen moet voldoen aan de wet, maar ook zélf robuust wil zijn, dan is de conferentie voor mij geslaagd. Het gaat om intrinsieke motivatie en een bewuste keuze om een toekomstbestendige bedrijfsvoering te realiseren. Alleen de vinkjes zetten is niet voldoende, het gaat om het begrijpen en toepassen van de principes in je organisatie”, besluit Jean Paul.
Wil je meer leren over hoe je jouw organisatie kunt voorbereiden op NIS2 en andere relevante regelgeving? Schrijf je dan in voor het Dataprotectie en Privacy Actualiteitencongres van Outvie. Bezoek onze website voor meer informatie en meld je vandaag nog aan!