NIS2 is het afgelopen jaar een veelbesproken onderwerp geweest en komt regelmatig terug in blogs en LinkedIn-posts. Toch moesten we wachten totdat de EU NIS2-richtlijn in nationale wetgeving werd vertaald om te begrijpen wat het precies voor ons betekent. Dus toen de conceptversie van de Nederlandse nationale wetgeving beschikbaar kwam voor openbare consultatie, dook ik er meteen in.
Laten we beginnen met een korte herhaling van het doel van de wetgeving, namelijk het ‘in stand houden van kritieke maatschappelijk of economisch belangrijke functies of activiteiten, gericht op het verbeteren van cybersecurity door regels op te stellen’. Deze regels zijn bedoeld om:
- risico's te beheersen met betrekking tot de beveiliging van informatiesystemen
- incidenten te voorkomen
- de negatieve impact van incidenten te beperken
- informatie te verkrijgen en te verstrekken over incidenten, bijna-incidenten, cyberdreigingen en kwetsbaarheden
De wetgeving benadrukt naar mijn mening sterk de gedeelde verantwoordelijkheid in de strijd tegen cybercriminelen, maar zal toch mogelijk niet het gewenste effect hebben bij organisaties die de intrinsieke motivatie missen om te doen wat nodig is en hun informatiesystemen adequaat te beveiligen.
Gedeelde verantwoordelijkheid in de strijd tegen cyberdreigingen voor de samenleving
Aan de positieve kant ben ik blij te zien dat de minister verplicht is om ervoor te zorgen dat er internationale samenwerking binnen de EU is, en dat de CSIRT verantwoordelijk is voor zowel nationale als internationale coördinatie en afstemming met betrekking tot cyberbeveiligingsdreigingen en inzichten.
Dit benadrukt het idee dat cyberbeveiligingsrisico's niet alleen een zakelijk risico zijn voor individuele organisaties en bedrijven, maar in feite een risico voor de samenleving als geheel. We kunnen niet langer verwachten dat iedereen zijn eigen cyberstrijd alleen voert; we moeten ons verenigen en allemaal onze verantwoordelijkheid nemen.
Een deel hiervan houdt in dat de CSIRT, naast zijn coördinatie-activiteiten, cyberdreigingen zal monitoren, vroegtijdige waarschuwingen zal afgeven aan risico-onderdelen en ondersteuning zal bieden tijdens incidenten.
De essentiële en belangrijke entiteiten (zoals wij) worden ook verwacht hun rol te spelen door technische, operationele en organisatorische maatregelen te implementeren om hun beveiligingsrisico's te beheersen.
Niet concreet genoeg om echte actie te stimuleren
Helaas blijft de wetgeving vrij vaag over wat deze maatregelen precies moeten inhouden. Er is slechts één artikel aan besteed dat beschrijft dat de maatregelen risicogebaseerd moeten zijn en internationale standaarden die mogelijk van toepassing zijn, in overweging moeten nemen. Dit laat echter veel ruimte voor interpretatie en zal entiteiten niet voldoende motiveren of begeleiden om te doen wat nodig is.
Ik had verwacht dat de wetgever concreter zou zijn over de verwachte beveiligingsmaatregelen. Bijvoorbeeld, een verwijzing naar de "apply or explain"-policies van de NSCS of de internationaal erkende ISO 27001-norm.
Zonder dit niveau van concreetheid zal het interessant zijn om te zien hoe de CSIRT en andere autoriteiten toezicht zullen houden op en naleving zullen handhaven. Ze hebben de bevoegdheid om beveiligingsscans en audits uit te voeren om naleving te controleren, maar zonder duidelijke criteria moeten we afwachten hoe effectief dit zal zijn.
Gevolgen van niet-naleving: hoge impact, maar lage waarschijnlijkheid?
De gevolgen van niet-naleving kunnen in theorie ernstig zijn, waaronder:
- Het dwingen van jouw organisatie om een probleem binnen een bepaalde termijn op te lossen
- De opschorting van de certificering of vergunning van jouw organisatie
- De opschorting van leden van jouw raad van bestuur
- Boetes tot 10 miljoen euro of 2% van de wereldwijde jaarlijkse omzet
Interessant is dat overheidsinstellingen zijn uitgesloten van de eerste drie gevolgen en zich alleen zorgen hoeven te maken over boetes.
Zonder duidelijke criteria voor naleving zullen de ernstige gevolgen niet voldoende zijn om alle essentiële en belangrijke entiteiten te motiveren om hun verantwoordelijkheden te nemen en voldoende beveiligingsmaatregelen te implementeren. Ik verwacht dat ze zullen wachten op jurisprudentie om de urgentie te bepalen, in plaats van direct aan de slag te gaan. Dit zal ofwel de impact vertragen of de impact van NIS2 helemaal beperken.