Origineel gepubliceerd op 23 februari 2024 op BlogIT
Ook al is het inmiddels bekend dat de Nederlandse overheid de deadline van oktober niet gaat halen, toch zit de officiële NIS2 wetgeving er nog steeds aan te komen. Sinds januari 2023 werkt de Rijksoverheid aan de omzetting van de CER- en NIS2-richtlijnen naar nationale wetgeving. De concept wetteksten zouden volgens de initiële planning in het eerste kwartaal van 2024 gereed zijn en sectoren, organisaties en personen krijgen dan gelegenheid hierop te reageren.
Er moet nog veel geregeld worden waardoor het langer kan duren totdat we de definitieve wetgeving te zien krijgen. Desondanks zijn we zeer benieuwd naar hoe deze wetgeving uit gaat pakken.
NIS2 is niet de eerste richtlijn die naar wetgeving vertaald moet worden en zal ook zeker niet de laatste zijn. Kijkend naar voorgaande wetgevingen, zijn dit drie lessen waarvan wij denken dat de Nederlandse overheid ze het meest ter harte zou moeten nemen.
1. Vind het wiel niet opnieuw uit
NIS2 is de opvolger van de NIS1-wetgeving, en heeft raakvlakken met andere bestaande risico gebaseerde normenkaders en frameworks zoals BIO2.0, ISO 27001 en CIS. Veel organisaties moeten al aan deze andere bestaande frameworks of wetgevingen voldoen.Door de wetgeving voor NIS2 hierop aan te laten sluiten, verlicht dit de druk op deze organisaties en wordt het net iets makkelijker om aan de verschillende eisen te voldoen. De overheid zet hier al goede stappen in, bijvoorbeeld door de mapping van NIS2 maatregelen naar de BIO2.0 en ISO 27002.
Dit advies kun je ook breder trekken dan alleen bestaande wet- en regelgevingen. Denk aan het in kaart brengen van bestaande standaarden en formulieren die al door private partijen zijn samengesteld, zoals bijvoorbeeld het samenwerkingsverband CYRA. Duidelijkheid over welke van deze standaarden erkend en ondersteund worden, kunnen de naleving van de wetgeving bevorderen.
2. Zorg voor voldoende capaciteit bij de meldpunten
De invoering van de privacywetgeving AVG is waarschijnlijk veel mensen bijgebleven. Alhoewel deze wetgeving een sterk wettelijk kader biedt, laten het toezicht en de handhaving in de praktijk soms te wensen over. Dit wordt ook erkend door de toezichthouder zelf, de Autoriteit Persoonsgegevens (AP), die al tijden aangeeft dat ze capaciteitsproblemen hebben.
Voor NIS2 wil je eenzelfde situatie voorkomen. Zorg dus voor voldoende capaciteit bij de meldpunten. Meer middelen bij bestaande toezichthouders per sector kan hierin helpen. Bevorder dan ook de samenwerking tussen deze verschillende toezichthouders.
3. Richt informatie juist op bestuurders
Het is belangrijk dat er voor de NIS2-wetgeving binnen organisaties voldoende draagvlak wordt gecreëerd – niet alleen bij de CISO en andere afdelingen die met informatiebeheer te maken hebben. Vooral bestuurders, die onder de NIS2-wetgeving persoonlijk verantwoordelijk en aansprakelijk gesteld kunnen worden, moeten het belang inzien van deze wetgeving.Â
Door snel duidelijkheid te creëren over welke bedrijven wel of niet en in welke mate met de NIS2-wetgeving te maken zullen hebben, kan er ook binnen een organisatie beter gecommuniceerd worden over dit soort regelgevingen.
Wacht niet af
Uitstel van implementatie geeft je geen excuus om passief te wachten totdat meer duidelijk is. Juist een proactieve benadering is van belang zodat je je beter bent beschermd tegen huidige risico’s. Organisaties worden onder NIS2 niet voor niets aangemerkt als essentieel of belangrijk.
Onder aan de streep gaat NIS2 vooral om het voorkomen van cyber incidenten en het beperken van de mogelijke gevolgen. Ook zonder dat de specifieke wetgeving al bekend is, kun je je al richten op preventie van cyber incidenten.
Het advies aan organisaties is daarom: vergeet niet het belang van investeren in een cybersecuritystrategie gericht op preventie, zoals de Zero Trust strategie. Door de implementatie van Zero Trust-principes versterk je niet alleen de algehele weerbaarheid van je organisatie, maar leg je tevens een solide basis voor een effectieve naleving van NIS2 en vergelijkbare regelgevingen.