“Wij zien NIS2 niet als een probleem, maar als een middel”
De NIS2-richtlijn is erop gericht om de weerbaarheid van organisaties tegen cyberaanvallen te vergroten. Dit is belangrijk wanneer het gaat om IT, maar een OT-omgeving die weerbaar is tegen cyberaanvallen is misschien nog wel van een groter belang. Met de implementatie van NIS2 wordt de wetgeving op het gebied van cyberveiligheid explicieter. “Het aantoonbaar moeten implementeren van deze aankomende cyberbeveiligingswet, zorgt bij veel organisaties voor onrust – met name in OT-omgevingen”, vertelt Lieron Viveen, kartrekker van de vakgroep Cybersecurity binnen KienIA. “Dit is onnodig! NIS2 biedt juist kansen om cyberveiligheid nu écht te borgen binnen organisaties. Veel organisaties die samen met KienIA bezig zijn met cyberveiligheid zijn al goed op weg om te voldoen aan de nieuwe wetgeving. En wanneer dit niet het geval is kunnen wij hierbij helpen.”
Lieron vervolgt: “De Europese richtlijn NIS heeft als doel om de cyberbeveiliging binnen de Europese lidstaten te verbeteren. Op dit moment wordt NIS2 per lidstaat vertaald naar landelijke wetgeving. Belangrijke items zijn de bestuurlijke aansprakelijkheid en de aantoonbaarheid waarmee bedrijven te maken krijgen. Waar we nu in Nederland werken met cyberveiligheidsrichtlijnen, standaarden en -normen, zal er met de implementatie van NIS2 ook meer handhaving plaatsvinden. Het niet aantoonbaar voldoen aan de wet heeft mogelijke boetes tot gevolg voor organisaties.”
Geen reden voor onrust
De NIS2-deadline van 17 oktober is in Nederland niet gehaald en de toezichthouder is nog niet actief gesteld. Wel is er al een concept van de cyberbeveiligingswet gedeeld waarmee bedrijven aan de slag kunnen. “Het feit dat de nieuwe wet binnenkort van kracht wordt, zorgt voor onrust binnen organisaties”, vertelt Lieron. “Bedrijven spelen hierop in door NIS2-implementaties en quickscans aan te bieden. Maar het is helemaal niet nodig om ongerust te zijn. De NIS2-wetgeving is niets nieuws. De wet omvat zaken die we eigenlijk al lang (zouden moeten) doen. Wanneer je al bezig bent met de invulling van cybersecuritynormen en richtlijnen hoef je niet bang te zijn voor wat er komen gaat. Sterker nog: omdat NIS2 hogere eisen stelt aan de betrokkenheid en kennis van de managementlaag van organisaties, wordt het gemakkelijker om de hele organisatie mee te krijgen en zo cyberveiligheid te borgen.”
Betere borging binnen organisaties
Binnen KienIA zien we NIS2 als een mooi middel om de benodigde commitment van het management van organisaties te krijgen. Lieron: “Tot dusver zagen we vaak dat cyberveiligheidstrajecten geïnitieerd werden door een individu of afdeling en vervolgens niet altijd even goed van de grond kwamen binnen de totale organisatie. NIS2 vereist een actieve betrokkenheid van de managementlaag, waardoor dit meer prioriteit krijgt en er daadwerkelijk securitygerichte organisaties ontstaan met focus op zorg- en meldplichten.”
Onderdeel van het dienstenpakket
“NIS2 is bij KienIA geen separate dienst”, stelt Lieron. “Het is simpelweg een onderdeel van onze cyberveiligheidsdienstverlening. In onze adviestrajecten voor de implementaties van cyberveiligheidsnormen en -richtlijnen nemen we NIS2 mee. We bieden opdrachtgevers inzicht door middel van gap-analyses met de beschikbare NIS2-artikelen. Door middel van rapportages bieden we vervolgens inzicht in welke acties zij nog moeten nemen om aan de eisen te voldoen. Ook opdrachtgevers die op een andere vlak samenwerken met KienIA kunnen wij ontzorgen op het gebied van cyberveiligheid. Als vakgroep Cybersecurity hebben wij veel actuele kennis van de normen en wetten op dit gebied. Als kartrekker ben ik bijvoorbeeld aanwezig bij diverse cybersecurity conferenties, aangesloten bij het NCSC en aangemeld bij het COB. Onze kennis delen wij graag met onze opdrachtgevers. Jaarlijks organiseren we de cybersecurity themamiddag met als doel het bespreken van actuele casuïstiek en kennisdeling”