Deel dit artikel:

31 okt 2023

|

Economie

Niet naleven cybersecurityrichtlijn NIS2 kan zelfs bedrijfsbestuur aansprakelijk stellen

De nieuwe cybersecurityrichtlijn NIS2, de herziene Netwerk- en Informatiebeveiligingsrichtlijn, heeft als doel om de Cyberveiligheid en weerbaarheid van Europese netwerken en systemen te verhogen . Op zich is daar niks mis mee, maar Frank van Olphen, directeur van de onafhankelijke gespecialiseerde entiteit CS2, onderdeel van Croonwolter&dros, benadrukt daarbij dat de impact van de regelgeving niet onderschat moet worden.

Eerst even de richtlijn zelf. Deze is reeds vastgesteld in 2022, waarna de implementatietermijn van 21 maanden is gestart. De planning is dat de Nederlandse wetgeving eind 2024 wordt geïmplementeerd, waarna er een 10
maandsperiode is voor de bedrijven/organisaties om aan deze wetgeving te voldoen. Het doel hiervan is een uniform en hoog beveiligingsniveau van netwerken en systemen in de hele Europese Unie te borgen. Een belangrijke verandering ten opzichte van de oorspronkelijke richtlijn is dat bedrijven sneller cyberincidenten moeten melden. Het niet naleven van de cybersecurityrichtlijn NIS2 kan zelfs leiden tot het bedrijfsbestuur aansprakelijk stellen.


De NIS2 zich in twee typen sectoren, namelijk essentiële en belangrijke entiteiten. Essentiële entiteiten bevinden zich in sectoren zoals energie, banken, financiële markten, zorg, digitale infrastructuur, en overheidsdiensten. Belangrijke entiteiten bevinden zich in sectoren als post- en koeriersdiensten, voedselproductie, levensmiddelen, chemie en onderzoek. Deze classificatie is bepalend voor invloed op de verantwoordelijkheid van organisaties.


Frank van Olphen: “We krijgen in de komende jaren te maken met een overvloed aan nieuwe cybersecurity-regelgeving. Die dienen allemaal specifieke doelen, terwijl de NIS2 van al die maatregelen de grootste algemene invloed heeft. Er wordt breed beseft dat deze richtlijn op ons afkomt, en onze klanten vragen zich wel af: wat heeft dit voor invloed op mijn organisatie, wat moet ik doen en welke maatregelen moet ik nemen?  Van essentieel belang hierbij is dat een organisatie goed inzicht heeft in het risicoprofiel van de organisatie: waar liggen de kwetsbaarheden en wat moet ik doen om deze te beschermen?”

Drie aspecten
Klanten die door CS2 worden begeleidt bij hun NIS2-aanpak krijgen op drie aspecten ondersteuning te weten; mens, organisatie en techniek. Strategie en beleid is daar een onderdeel van. Er is een team beschikbaar dat zich bezighoudt met strategie, beleid en procedures in relatie tot de NIS2-richtlijn. Er wordt gewerkt vanuit een risicogestuurde aanpak waarbij de risico-inventarisatie de basis vormt voor de prioritering van de te nemen maatregelen. “Wij maken een risk assessment op basis waarvan een risicoprofiel ontstaat. En dat bepaalt wat er moet gebeuren aan te nemen maatregelen, zodat de klant voldoet aan de voorgeschreven digitale weerbaarheid.”

Wat daaruit volgt, is dat CS2 de opdrachtgever meeneemt in de bewustwording en training over de te nemen stappen. Het derde aspect heeft betrekking op de te nemen technische maatregelen om er daadwerkelijk voor te zorgen dat invulling aan de richtlijn wordt gegeven. “Dus dan vertaal je eigenlijk praktisch je strategie en beleid naar toepassingen binnen de verschillende systemen in je bedrijf.”

OT versus IT
Veel bedrijven/organisaties, signaleert Van Olphen, menen dat ze met een paar technische aanpassingen in het systeem voldoende gedekt zijn. Dat is echter zeker niet het geval, waarschuwt hij, want de NIS2-verordening heeft vooral van doen met procedurele en strategische beslissingen. Die zijn voor misschien wel zeventig procent bepalend om aan te haken bij de cybersecurityrichtlijn. “We zitten bij veel bedrijven nog in de bewustwordingsfase om hen te demonstreren dat het niet alleen gaat om een technische aanpassing, maar op de eerste plaats om een strategische beslissing.”
Daar komt nog bij dat veel bedrijven de overtuiging hebben dat hun netwerk goed is beveiligd. Van Olphen roept bedrijven op die conclusie niet al te snel te trekken. “Onze focus ligt voornamelijk aan de kant van de operationele techniek (OT) niet aan de IT-kant. Met onze risk assessment-
analyse kijken we welke maatregelen er inmiddels zijn getroffen aan zowel de IT- als OT-kant, op zowel strategisch, tactisch en dus operationeel vlak. Wij kijken waar we een harde scheiding moeten maken tussen operationele techniek en het informatienetwerk, maar we kijken ook waar we die samen kunnen laten lopen. Ons motto in deze ‘Samen waar het kan – gescheiden waar het moet’.”

Operationele techniek
Tot slot: wat CS2 onderscheidend maakt ten opzichte van andere cybersecurity-aanbieders, is dat CS2 de focus heeft op uw operationele techniek (OT) zonder de IT technische kant uit het oog te verliezen. Daar waar veel bedrijven zich focussen op een deel van het cybersecurity domein is CS2 de verbindende factor tussen mens, techniek en organisatie. Daarmee is het bedrijf vooral gericht op de continuïteit van de bedrijfsvoering en de beschikbaarheid van systemen.

“Wij maken de verbinding tussen
techniek en organisatie, hebben veel erv-aring met het implementeren, configureren en onderhouden van systemen.”

 

Feiten
Eén op de vijf bedrijven is tegenwoordig slachtoffer van cybercriminaliteit. Dat kan allerlei vormen aannemen, van digitale inbraken tot datalekken of DDoS-aanvallen. In totaal gaat het om een schadebedrag van circa 10 miljard euro op jaarbasis. Het opvallende feit doet zich voor dat één op de achtduizend bedrijven door brand gedupeerd raken, terwijl daar de meest stringente eisen voor gelden. “Als je niet beseft welk cybersecurity-risico je loopt, dan is dat je hoofd in het zand steken.”

(Bron: Cyberveilig Nederland)

Gesponsord