NIS2 zal Europees gezien op 17 oktober ingaan. Dat geldt ook nog steeds voor Nederland (!). Echter niet zo breed in eerste instantie. Maar vergis je niet, het komt er aan en dat gaat toch weer sneller dan je denkt. Het begint nu… Lees maar verder.
NIS2 – Weten we het nog?
Een Europese richtlijn die Januari 2023 is ingegaan en welke de lidstaten op 17 oktober 2024 aangevuld en ingevoerd moeten hebben met lokale wetgeving… De Nederlandse wetgeving heeft een traject met een zeer wezenlijk onderdeel: een regering. Laat dat nu net in Nederland een dingetje zijn…
Wat is dan NIS2 ook alweer?
NIS2 is door de Europese Commissie in het leven geroepen om de Cyber weerbaarheid van de Europese bedrijven op een hoger plan te krijgen. Er zijn een aantal sectoren aangewezen waarbinnen bedrijven zouden moeten voldoen aan NIS2. Vervolgens zijn er een aantal criteria opgesteld om de “doelgroep” te definiëren (met de gebruikelijk grijze gebieden…) en een aantal doelen (maatregelen) die behaald dienen te worden. De doelgroep is verdeeld in twee sub-groepen: die bedrijven die actief onder toezicht komen te staan onder andere door middel van rapportages (de groep: Kritisch) en de sub-groep die desgevraagd een rapportage moeten kunnen aanleveren (de groep: Belangrijk). In één zin is de opdracht: breng je risico’s in kaart en begin die maatregelen te nemen om binnen beschikbare middelen deze risico’s te verkleinen. NIS2 heeft daarvoor 10 basismaatregelen gegeven.
Toezicht op NIS2
Een aparte alinea voor het Toezicht. Meesten van ons weten de dode hoek van de AVG: het toezicht en de handhaving. Een grote wassen neus is de algehele opinie. Dat wil niet zeggen dat de AVG niet belangrijk is! Maar de AP (die toezicht moet houden en de handhaving regelt) is onderbezet en niet genoeg in control.
Met NIS2 gaat het echt anders worden. De NIS2 richtlijn geeft aan dat het niet naleven van NIS2 een zeer afschrikkende consequentie moet hebben. En toezicht zal voor de Kritisch-groep een jaarlijks terugkerend item worden want zijn moeten rapportage doen. De Belangrijk-groep moet zijn rapportage zeg maar soort van klaar hebben liggen want het kan opgevraagd worden. Hoeveel tijd je dan krijgt moet nog in een wet gegoten worden.
Handhaving NIS2
Hier is wel een en ander om te doen. Heel “to the point”: directies/DGA’s en de commissarissen van de Raad van Bestuur kunnen hoofdelijk (…) aansprakelijk gesteld kunnen worden als bijvoorbeeld een incident voorkomen had kunnen worden en het aantoonbaar is dat de benodigde maatregelen bewust niet uitgevoerd zijn.
Dat was “tot nu toe”
Dat was even een snelle, korte (oh ja, kort?) samenvatting van NIS2 in mijn eigen woorden. Zie ook onze eerdere berichtgeving in onze blog.
En nu dan, hoe nu verder?
Op moment van schrijven zijn er Europees gezien nog 6 maanden te gaan voordat alle Europese bedrijven hun NIS2 zaakjes op orde moeten hebben. Maar Nederland… Wij lopen iet wat achter omdat we geen regering hebben. Maar voor de volgende Nederlandse bedrijven geldt dat dus NIET:
- Wanneer de zetel van het bedrijf buiten Nederland maar wel in Europa is gevestigd;
- Wanneer een afnemer of toeleverancier in de Supply Chain in het buitenland NIS2 moet volgen.
In het kader van de keten-verantwoordelijkheid zal een in Nederland gevestigd bedrijf in deze gevallen 100% moeten voldoen aan de Europese richtlijn per 17 oktober 2024.
De volgende actie vanuit de wetgever
Onderdeel van de benodigde wetgeving is de Internetconsultatie. Deze is verplicht vanuit de Europese richtlijn en had in Q3/Q4 2023 uitgevoerd moeten worden. Nu is deze gepland om in de tweede helft van Mei 2024 te starten en dan 6 weken lang. Met de input van deze consultatie zal het (demissionaire?) kabinet een wet gaan voorbereiden die eerst door de 2de en dan door de 1ste kamer zal gaan. Het is de verwachting dat bij acceptatie van de 1ste kamer, deze wet direct zal ingaan (Q1 2025 wordt over gesproken).
De Toezichthouder
In de basis zal de Toezichthouder per sector een andere organisatie zijn. Meestal een organisatie die al actief is in betreffende sector. Voor de sector “Beheer van ICT-diensten” zal dat de RDI worden. Vorig jaar was ik bij een bijeenkomst van het VNO/NCW, ook over NIS2. De RDI was daar ook en verklaarde toen al dat alle toezichthouders een soepel standpunt willen innemen. Het kwam erop neer dat zij liever de sector helpen te verbeteren dan te gaan rondstrooien met boetes. Maar dat zal zeker niet betekenen dat de sector achterover kan leunen. Deze intentie is onlangs nogmaals uitgesproken. Hun daadwerkelijke rol, verantwoordelijkheden en bevoegdheden moeten nog in de lokale wetgeving gegoten worden.
Inschrijving voor NIS2
De verantwoordelijkheid om onder NIS2 te vallen wordt gelegd bij de bedrijven zelf; zij moeten zichzelf registreren bij de NCSC (National Cyber Security Centrum). Dus een bedrijf moet dat zelf gaan inschatten. Daar is gelukkig een website voor die je daarbij kan helpen. Het Ministerie kan echter wel besluiten om een organisatie aan te wijzen die vanuit de gestelde richtlijn niet onder NIS2 zou vallen, maar er toch aan moet gaan geloven.
Een keurmerk voor NIS2?
Er wordt al regelmatig reclame gemaakt voor “Het NIS2 Keurmerk”. Let op: tot op heden is er geen officieel NIS2-keurmerk. Er zijn een aantal wel of niet commerciële partijen die een keurmerk in de markt gebracht hebben / gaan brengen. Maar deze hebben (nog) geen officiële wettelijke betekenis. Dat wil niet zeggen dat deze bedrijven een organisatie niet kunnen helpen! Maar er is geen wettelijke waarde van betreffende keurmerk, nog niet in ieder geval. Het feit van een keurmerk hebben kan wel een voordeel zijn, een reclame bord. Maar of dat nodig is, is voor iedere organisatie zelf te besluiten.
En AutomateX, waarom zijn jullie er zo druk mee?
In omvang voor NIS2 (>50 medewerkers en omzet boven de 10 miljoen) zal AutomateX niet aangemerkt worden ook al valt AutomateX in de sector “Beheer van ICT-diensten”. AutomateX wel echter vanuit intrinsieke motivatie NIS2 doen (of is het “zijn”?). Ergo, een MSP (of zelfs iedere ICT dienstverlener) die zichzelf en vooral zijn klanten serieus neemt, heeft al 80% klaar voor NIS2, als niet al meer. Dat is ook wat onze klanten mogen verwachten. Wij, ICT Dienstverleners, zijn een belangrijk onderdeel van de keten van onze klanten. Dat pretenderen wij IT’rs ook gezien de aandacht die wij opeisen naar onze klanten om duidelijk te maken dat hun organisatie zonder werkende IT het gewoon niet meer doet.
En in “die keten” ligt dan ook de mogelijke wettelijke en/of commerciële reden. Net als de ISO-regulering, zal dit ook met NIS2 gaan gebeuren. Bedrijven die NIS2 moeten doen, zullen hun toeleveranciers en mogelijk ook de afnemers vriendelijk maar (steeds) dringend(-er) vragen om ook NIS2 te volgen. In een Supply Chain is de Cyber security zo sterk als de zwakste schakel. En door met ons bedrijf (AutomateX) NIS2 te doen, nemen wij onze klanten mee. En dat zal ze een commercieel voordeel kunnen geven in de Supply Chain waar zijzelf een onderdeel van zijn. AutomateX is ten slotte “Uw Eigen IT Afdeling“.
Lobbyisten rol AutomateX
Dan is er nog een belangrijke reden eigenlijk. AutomateX vindt dat NIS3 zo snel mogelijk moet komen: Cyber Security voor alle bedrijven. Door NIS2 verwachten wij een waterbed effect. Als de bedrijven NIS2 doen, zullen ze moeilijker succesvol aangevallen kunnen worden. De boefjes willen snel en makkelijk geld aftroggelen, maar bij een bedrijf die voldoet aan NIS2 is dat lastiger dan bij een bedrijf die maar wat aan rommelt (met alle respect maar even voor de beeldvorming).
Dus naast de keten verantwoording, is het voor alle bedrijven van belang te starten met NIS. En wij ondernemers zijn niet zo van regulering, I know. Maar deze is echt belangrijk voor de continuering van je bedrijf. En ondernemers die dat niet inzien, zijn rommelaars. En dan dus maar wetgeving die ervoor zorgt dat de BV Nederland Cyber technisch een heel stuk sterker komt te staan. Mijn statement.
En dat statement (onder de term NIS3) benoem ik overal waar over NIS2 gesproken wordt. Seminars, workshops waar ik aanwezig ben zal ik NIS3 laten vallen en de uitleg erbij geven. Ik hoop te bereiken dat er aandacht gaat komen voor de bedrijven en organisaties die het het meest nodig hebben. Ook al geeft dat weer extra regelgeving en zal in vele kleinbedrijven er een schifting moeten komen om de centen op een andere manier te verdelen. Maar IT binnen een organisatie beschermt je waardevolle digitale spullen. Dat mag nooit een ondergeschoven onderwerp zijn.
Hoe verder?
In de blog staan al een aantal links. Hou NCSC in de gaten en de site van het ministerie. Dan mag je natuurlijk altijd hier op deze blogs pagina terugkomen of beter, als je in de regio zit met je bedrijf, een contact afspraak maken. Kennismaking en een kop koffie kan altijd en dat is natuurlijk geheel vrijblijvend. Goede zaken! Maar vooral: veilige zaken.
