Cyberbeveiligingswet
Te weinig handvatten voor Nederlandse bedrijven in uitwerking NIS2
Door Dennis de Hoog, beeld Shutterstock
Terwijl Nederland nog flink wat maanden moet wachten op implementatie van NIS2 in nationale wetgeving, is er al veel te doen over die Europese richtlijn voor betere cybersecurity. Niet alleen over de eigenlijke NIS2, maar ook juist over de Nederlandse 'vertaling' ervan. Dat kan op bepaalde punten echt wel beter, ziet Dennis de Hoog.
Recent is de langverwachte Nederlandse uitwerking van de Europese NIS2-wetgeving ter consultatie aangeboden. Deze Cyberbeveiligingswet zou in oktober van kracht worden, maar die deadline wordt volgens de toenmalig demissionair minister verre van gehaald. Het is opvallend dat de Nederlandse uitwerking van de NIS2-richtlijn veel minder concreet is dan wat er vanuit Europa is neergelegd. Hiermee mist de overheid de kans om bedrijven de weg te wijzen en risico’s te beperken.
Geen duidelijke maatregelen
Met name op belangrijke actiepunten blijft de Nederlandse versie nog vaag. Daartegenover worden in het Europese document 10 categorieën genoemd met maatregelen die bedrijven moeten nemen. Juist bij wetgeving waarbij er forse consequenties aan worden verbonden als bedrijven hier niet aan voldoen, is het essentieel heel duidelijk te zijn over wat nu wordt verwacht van organisaties. Zo staat bijvoorbeeld in de conceptwettekst niets over belangrijke maatregelen als security monitoring of leveranciersmanagement.
Bestuurders kunnen ook niet langer naar de IT-afdeling wijzen als het om cybersecurity gaat.
Wel duidelijke bevoegdheden
Een positief punt is dat in de Nederlandse versie de bestuursrechtelijke en operationele kant van de NIS2-wetgeving heel duidelijk is uitgewerkt. Er wordt een landelijk toezicht- en handhaving- en responssysteem geïntroduceerd, onder regie van de minister van Justitie en Veiligheid. Ook krijgen ministers en toezichthouders op het gebied van cyberbeveiliging een duidelijke taak en bevoegdheid voor hun sector, en zie je dat er meer intensieve kennisuitwisseling en samenwerking in Europees verband zal zijn.
In Nederland zal er vanuit de Cyberbeveilingswet ook pro-actieve landelijke coördinatie zijn vanuit het CSIRT (Computer Security Incident Response Team). Deze kan nieuwe kwetsbaarheden gecoördineerd naar buiten brengen, maar ook non intrusieve scans uit laten voeren en daarbij de gescande organisatie zelfs overrulen. De rekening van een dergelijke scan wordt in bepaalde gevallen bij de partij in kwestie neergelegd.
Wat gaat men precies scannen en op basis waarvan?
Veel aandacht voor techbedrijven
Voor wat betreft de acties vanuit het CSIRT is de Nederlandse versie echter ook te weinig concreet. Er wordt een scan uitgevoerd op jouw organisatie. Maar wat gaat men dan precies scannen en op basis waarvan? Als dat niet duidelijk is, weten bedrijven ook niet waar ze zich op moeten voorbereiden.
Verder zie je dat in de Nederlandse uitwerking relatief veel aandacht wordt besteed aan techbedrijven. Zo is er expliciete aandacht voor managed service providers en internetproviders. Dat is ook terecht, gelet op hun essentiële rol voor het waarborgen van de continuïteit. Maar voor bijvoorbeeld bepaalde subsectoren binnen de zorg of kleinere logistiek dienstverleners die wat minder volwassen zijn op het gebied van security, zou het ook heel waardevol zijn om hele heldere actiepunten te hebben. Hiermee kan men vervolgens een goede inschatting maken of ze aan de wet voldoen.
Meten is weten
Zo zorgt goed inzicht in de security van je organisatie er ook voor dat je beter kunt voldoen aan de aangescherpte meldplicht binnen NIS2. In het geval van een security-incident moet een bedrijf direct melding doen, als je echter geen detectie en monitoring hebt ingericht, is het soms niet eens duidelijk dat je bent getroffen en haal je ternauwernood de 72 uur die staat voor het doen van de tweede, definitieve melding.
Goed inzicht en weten wat er van je wordt verwacht is ook gezien de forse dwangmiddelen die staan beschreven dus essentieel. Naast geldelijke boetes kunnen bedrijven hun vergunning verliezen en kunnen bestuursleden geschorst worden. Bestuurders kunnen ook niet langer naar de IT-afdeling wijzen als het om cybersecurity gaat. Zij hebben een eigen verantwoordelijkheid, moeten weten wat het inhoudt, en aantonen hierin te zijn getraind. Dit vraagt om een hele andere mindset die je nu vaak bij bestuurders en organisaties ziet.
Handleiding verwacht
Het is nog steeds onduidelijk wanneer de wet precies in werking zal treden in Nederland; naar verwachting in het derde kwartaal van volgend jaar. Wel is duidelijk dat organisaties die onder de wetgeving vallen – en zeker degene die qua security minder volwassen zijn - aan de slag moeten om te voorkomen dat zij straks achter de feiten aanlopen. Daarvoor verwacht ik echter, onder meer door de feedback die de overheid ongetwijfeld zal krijgen op deze versie, dat er een document ligt dat bedrijven meer als een handleiding kunnen raadplegen bij de voorbereiding op de implementatie van NIS2 vanuit de Cyberbeveiligingswet.
Dennis de Hoog is security-expert en CEO Computest Security.