Te weinig handvatten voor Nederlandse bedrijven in uitwerking NIS2

Met name op belangrijke actiepunten blijft de Nederlandse versie nog vaag. Daartegenover worden in het Europese document 10 categorieën genoemd met maatregelen die bedrijven moeten nemen. Juist bij wetgeving waarbij er forse consequenties aan worden verbonden als bedrijven hier niet aan voldoen, is het essentieel heel duidelijk te zijn over wat nu wordt verwacht van organisaties. Zo staat bijvoorbeeld in de conceptwettekst niets over belangrijke maatregelen als security monitoring of leveranciersmanagement.

Een positief punt is dat in de Nederlandse versie de bestuurs­rechtelijke ­en operationele kant van de NIS2-wetgeving heel duidelijk is uitgewerkt. Er wordt een landelijk toezicht- en handhaving- en responssysteem geïntroduceerd, onder regie van de minister van Justitie en Veiligheid. Ook krijgen ministers en toezichthouders op het gebied van cyberbeveiliging een duidelijke taak en bevoegdheid voor hun sector, en zie je dat er meer intensieve kennisuit­wisseling en samenwerking in Europees verband zal zijn.
In Nederland zal er vanuit de Cyberbeveilingswet ook pro-actieve landelijke coördinatie zijn vanuit het CSIRT (Computer Security Incident Response Team). Deze kan nieuwe kwetsbaarheden gecoördineerd naar buiten brengen, maar ook non intrusieve scans uit laten voeren en daarbij de gescande organisatie zelfs overrulen. De rekening van een dergelijke scan wordt in bepaalde gevallen bij de partij in kwestie neergelegd.

Voor wat betreft de acties vanuit het CSIRT is de Nederlandse versie echter ook te weinig concreet. Er wordt een scan uitgevoerd op jouw organisatie. Maar wat gaat men dan precies scannen en op basis waarvan? Als dat niet duidelijk is, weten bedrijven ook niet waar ze zich op moeten voorbereiden.
Verder zie je dat in de Nederlandse uitwerking relatief veel aandacht wordt besteed aan techbedrijven. Zo is er expliciete aandacht voor managed service providers en internetproviders. Dat is ook terecht, gelet op hun essentiële rol voor het waarborgen van de continuïteit. Maar voor bijvoorbeeld bepaalde subsectoren binnen de zorg of kleinere logistiek dienstverleners die wat minder volwassen zijn op het gebied van security, zou het ook heel waardevol zijn om hele heldere actiepunten te hebben. Hiermee kan men vervolgens een goede inschatting maken of ze aan de wet voldoen.

Zo zorgt goed inzicht in de security van je organisatie er ook voor dat je beter kunt voldoen aan de aangescherpte meldplicht binnen NIS2. In het geval van een security-incident moet een bedrijf direct melding doen, als je echter geen detectie en monitoring hebt ingericht, is het soms niet eens duidelijk dat je bent getroffen en haal je ternauwernood de 72 uur die staat voor het doen van de tweede, definitieve melding.
Goed inzicht en weten wat er van je wordt verwacht is ook gezien de forse dwangmiddelen die staan beschreven dus essentieel. Naast geldelijke boetes kunnen bedrijven hun vergunning verliezen en kunnen bestuursleden geschorst worden. Bestuurders kunnen ook niet langer naar de IT-afdeling wijzen als het om cybersecurity gaat. Zij hebben een eigen verantwoor­delijkheid, moeten weten wat het inhoudt, en aantonen hierin te zijn getraind. Dit vraagt om een hele andere mindset die je nu vaak bij bestuurders en organisaties ziet.

Het is nog steeds onduidelijk wanneer de wet precies in werking zal treden in Nederland; naar verwachting in het derde kwartaal van volgend jaar. Wel is duidelijk dat organisaties die onder de wetgeving vallen – en zeker degene die qua security minder volwassen zijn - aan de slag moeten om te voorkomen dat zij straks achter de feiten aanlopen. Daarvoor verwacht ik echter, onder meer door de feedback die de overheid ongetwijfeld zal krijgen op deze versie, dat er een document ligt dat bedrijven meer als een handleiding kunnen raadplegen bij de voorbereiding op de implementatie van NIS2 vanuit de Cyberbeveiligingswet.