BLOG – De Europese richtlijn NIS2, die in oktober in werking treedt, stelt ook eisen aan bestuurders, ziet Yuri Bobbert. Hij legt uit wat belangrijke consequenties van deze Wet beveiliging netwerk- en Informatiesystemen voor hen zijn. Maak je borst maar nat voor een hele rij plichten. Die kunnen vervolgens wél veel opleveren.
- NIS2 is een Europese richtlijn, die in navolging van NIS1 (beter bekend als de Wet Beveiliging Netwerk- en Informatiesystemen) volledig in werking moet zijn bij de lidstaten op 17 oktober 2024. Dat Nederland de implementatie waarschijnlijk niet gaat halen is geen reden om te wachten.
(Er)ken je plichten
Eigenlijk zijn er 3 belangrijke zaken van belang bij NIS2. Ik geef dit veelal als voorbeeld wanneer bestuurders mij vragen: ‘NIS2, wat moet ik ermee?’ Het begint met het (er)kennen van al je plichten:
1. Eigenaarschap (tonen): beseffen dat er een bestuurlijke norm wordt opgelegd die je ondernemerschap en handelsvrijheid gaat bepalen.
2. Afbakenen: een veel gehoord misverstand is dat je hele organisatie aan NIS2 moet voldoen, maar de wettelijke eisen zijn best duidelijk. Het gaat om vitale ketens in je voortbrengingsproces, die bij een verstoring kunnen leiden tot maatschappelijke onrust, bankruns, dood, of andersoortige rampen.
3. Hergebruiken: ga niet het wiel opnieuw uitvinden en laat je niet inpakken door dure adviseurs of bangmakende cybersecurityfabrikanten die allemaal op deze commerciële wagen willen springen. Realiseer je dat als je al bepaalde ‘checks en balances’ hebt in je organisatie, je daarop kunt doorpakken en verder kunt gaan specificeren.
Neem dit ‘specificeren’ niet te licht. Sommige eisen in NIS2 vragen om een keuze, bijvoorbeeld of je bepaalde operationele securityacties zelf wilt gaan uitvoeren of laten doen door specialistische partijen.
NIS2 voor bestuurders
Ik zal niet herhalen wat we al weten, er zijn echter wel een paar zaken van belang om vooraf te weten. Denk aan: ben ik met mijn bedrijf een toeleverancier in de keten van NIS2-plichtige bedrijven? Ik zal de specifieke eisen en implicaties beschrijven aan de hand van een voorbeeld voor een op de retailketen georiënteerde levensmiddelenorganisatie. De wettekst vermeldt dat organisaties die actief zijn in de ‘productie, verwerking en distributie van levensmiddelen zoals gedefinieerd in artikel 3, punt 2, Verordening (EG) nr. 178/2002 van het Europees Parlement en de Raad [1] die zich bezighouden met groothandel en industriële productie en verwerking’ aan de NIS2-eisen moeten voldoen. Maar wat zijn dan ‘levensmiddelenbedrijven’ in de context van NIS2? Volgens het publicatieblad van de Europese Gemeen schappen zijn dat ondernemingen zowel ‘publiek- als privaatrechtelijk die al dan niet met winstoogmerk actief zijn in enig stadium van de productie, verwerking en distributie van levensmiddelen’. ‘In enig stadium’ betekent concreet de toeleveranciers of dienstverleners aan deze product voortbrenging. Deze organisaties moeten dus ook gaan voldoen aan specifieke eisen [2]. Er zijn twee fundamentele categorieën van eisen, te weten zorgplicht en meldplicht.
Zorgplicht en meldplicht
Zorgplicht betekent dat de juiste voor bereidingen en maatregelen getroffen moeten worden in de organisatie, om NIS2 te kunnen implementeren alsook te onderhouden. Denk aan een duidelijk organisatiefunctie, rol- en functie beschrijvingen maar ook een governancemechanisme om bijzonderheden of escalaties te duiden en vervolgens besluiten op te nemen. Het gaat dus verder dan alleen maar een chief information security officer (CISO) aanwijzen en duimen dat het dan goed gaat. De bestuurder of directeur-groot aandeelhouder krijgt in NIS2 een veel prominentere rol in de governance om boetes – of erger: ambtsontheffing – te voorkomen. NIS2, wat moet ik ermee? Je moet er dus wel degelijk wat mee.
Mijn persoonlijke favoriet in NIS2 is artikel f: ‘beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen’. Met name omdat beleid en procedures vaak wel op papier staan, maar zelden succesvol in de praktijk worden doorgevoerd. In mijn 20 jaren als praktijkonderzoeker tref ik hier zelden een goede operationele verankering voor aan. Recent rapporteerde CSO Online dat 50% van de securityproducten niet goed wordt ingericht en dus faalt in het functioneren. Dit is vergelijkbaar met een slot op je deur waarvan de sleutel er 24 uur per dag in blijft zitten. Met de wetenschap dat het merendeel van de hackers geautomatiseerde tools gebruikt om aan die deurklink te ‘voelen’ en zo dus makkelijk kan binnenkomen. Onvolledig afconfigureren is dan ook oorzaak nummer 1 van succesvolle digitale inbraken. En dus ook ons laaghangend fruit voor de oplossing. Sterker nog, het fruit ligt al op de grond. Ik hoef niet eens meer te plukken, zo eenvoudig is deze oplossing.
Laten we bij NIS2 vooral leren van de Amerikaanse aanpak. Denk aan de top-down aanpak van de presidentiële Executive Order om cyberweerbaarheid te vergroten middels het 5-stappenmodel van Zero Trust, de Security en Exchange Commissie (voor beursgenoteerde ondernemingen) voor het aanstellen van een CISO in de board. Deze top-downaanpak neemt de vrijblijvendheid weg en maakt bestuurders bewust van persoonlijke vervolging, significante boetes of ambtsontheffing. Het maakt bestuurders bewuster van de noodzaak voor belangrijke stuurinformatie om de effectiviteit van de NIS2-implementatie goed te kunnen volgen en eventueel dubbelwerk te voorkomen. Want veel processen en taken uit de GDPR (zorg en meldplicht) zijn gelijk aan die van NIS2 en hierop kan worden voortgeborduurd.
Opleidingsplicht
Naast de zorg- en meldplicht is er een opleidingsplicht voor o.a. bestuurders. Dit is gelijk aan Permanente Educatie-punten voor toezichts- en bestuurdersrollen, om bewustzijn te creëren en kennis over te brengen om zodoende handelsbekwaam te worden. Een greep uit vragen die bestuurders en DGA’s alvast kunnen stellen aan hun beveiligingsverantwoordelijke, om de feitelijke status en voortgang van NIS2 op te halen:
• Wat zijn onze belangrijkste ketens (protect surfaces), en wat zijn de uitkomsten uit de risicoanalyse hierop? Wat is het behandelplan om het gewenste resultaat te bereiken?
• Wie in onze toeleveringsketen zijn er 24/7/365 beschikbaar als wij een incident ondervinden en hoe is dat recent getest? En wat doen we met de geleerde lessen?
• Wat is onze gemiddelde tijd om een incident te identificeren (op impact en handelsperspectief) en isoleren en wanneer is of wordt dit getest op realiteit?
• Hoe meten wij de effectiviteit van onze beveiligingsmaatregelen en hoe verifiëren we de kwalitatieve implementatie (denk aan configuraties) van onze maatregelen op real-timebasis?
Deze vragen leiden tot een juiste dialoog, zowel voor 18 oktober als na deze implementatiedatum.
Toezicht
Nu we zicht hebben op zorgplicht (maatregelen treffen), meldplicht (bij verstoringen kunnen reageren en reproduceren) en opleidingsplicht, is er toezicht door de autoriteiten. Ook de toezichthouders gaan een zware dobber krijgen. Het ontbreekt hen niet alleen aan de capaciteit, er is ook (nog steeds) een gebrek aan technologische kennis bij auditors. Het handjevol auditors dat zich straks over NIS2 kan gaan buigen is onvoldoende. Men zal moeten zoeken naar alternatieve vormen van toezicht. Hier kunnen we leren van ‘omgekeerde bewijslast’, zoals we dat bijvoorbeeld doen met financiële rapportages of btw-aangiftes. We vragen de onder toezicht staande partij een periodieke ‘In Control Statement’ te overleggen, waarin de effectiviteit van de NIS2-implementatie wordt aangetoond. Ik schreef eerder over een soort NIS2-keurmerk, en dit idee blijkt gehoor te krijgen bij beleidsmakers. Zo’n keurmerk via een In Control Statement kan namelijk ook een USP vormen voor bedrijven.
Denkplicht
Tot slot hebben ondernemers een denkplicht, om na te denken over wat NIS2 voor hen betekent en hoe ze kunnen anticiperen en acteren. Drie overdenkingen:
- Hoe gaan we optimaal hergebruik maken van bestaande processen en procedures (bijvoorbeeld die voor een ISO9001, ISO27001 of GDPR)? Door bijvoorbeeld een keer per jaar een zogenaamde parent maatregel te testen en daardoor te voldoen aan meerdere wet- en regelgevingen?
- Hoe kan ik mijn bestuurlijke verantwoordelijkheid nemen en alvast bedrijfskundig nadenken hoe ik bepaalde NIS2-processen, zoals Security Operations en Incident Response, inricht? Ga ik dat bijvoorbeeld zelf doen of zijn anderen hier voor beter geëquipeerd? Ik schreef eerder over dit ‘IKEA effect’; zelf doen versus uitbesteden.
- Hoe ziet mijn investeringsroadmap in NIS2 en andere wetgevingen of marktstandaarden eruit? Je kunt hierbij ook denken aan commerciële Request for Proposals (RFPs), die steeds vaker vereisen dat je als ondernemer voldoet aan bepaalde industriestandaarden ten aanzien van informatieverwerking. Denk aan de Payment Card Industry Standard en NEN7510 voor gezondheidszorg. Of de California Consumer Privacy Act (CCPA). Een gemiddeld internationaal georiënteerd bedrijf kan in de toekomst zomaar met een veelvoud van klanteisen te maken krijgen. Het is dus slim om nu alvast na te denken over deze investeringen en maximaal hergebruik te maken van controls.
Bedrijven die proactief aan de slag gaan met informatiebeveiliging en cyberrisico’s weten wat ze met NIS2 moeten. Ze zullen hun NIS2-compliance in gaan zetten als USP en daarmee een voorsprong krijgen. Deze bedrijven zullen namelijk door hun klanten worden gepercipieerd als kwalitatief, transparant en eerlijk. NIS2 wat kan ik ermee, in plaats van wat moet ik er mee. Meer dan je denkt, namelijk commercieel gaan benutten.
Deze blog is geschreven door Yuri Bobbert (Professor aan de Antwerp Management School en CEO van Anove International)
