Michael Soekhoe: onduidelijkheden en mogelijke misvattingen over NIS2-richtlijn
Ik vind het positief om te zien dat er initiatieven zijn om de NIS2-richtlijn toegankelijk te maken voor organisaties. Toch wil ik reageren op het een recent artikel, omdat er enkele onduidelijkheden en mogelijke misvattingen in staan. Dit schrijft Michael Soekhoe , CEO & Founder CyberNativ B.V. | Strategic Cyber Defense, in een blog op Dutch IT Channel.
Het NIS2 Quality Mark in Europa is gelanceerd. Dit in Nederland ontwikkelde keurmerk biedt mkb-bedrijven in Europa de mogelijkheid te voldoen aan de Europese NIS2-cybersecuritywetgeving, zonder het risico dat zij zich hierbij overkwalificeren. Het keurmerk waarborgt de positie van (mkb-) ondernemingen in de toeleveringsketen. Ook na de invoering van de wet die, naar verwachting, per 1 juli 2025 in Nederland van kracht wordt. "Ik vind het positief om te zien dat er initiatieven zijn om de NIS2-richtlijn toegankelijk te maken voor organisaties. Toch wil ik reageren op dit artikel, omdat er enkele onduidelijkheden en mogelijke misvattingen in staan", aldus Michael Soekhoe.
1. 𝗡𝗜𝗦𝟮 𝗶𝘀 een Europese richtlijn en 𝗴𝗲𝗲𝗻 𝗱𝗶𝗿𝗲𝗰𝘁𝗲 𝘄𝗲𝘁; het is aan de individuele lidstaten om deze richtlijn om te zetten in nationale wetgeving, zoals deze in 𝗡𝗲𝗱𝗲𝗿𝗹𝗮𝗻𝗱 wordt omgezet naar de 𝗖𝘆𝗯𝗲𝗿𝗯𝗲𝘃𝗲𝗶𝗹𝗶𝗴𝗶𝗻𝗴𝘀𝘄𝗲𝘁. Elke lidstaat kan daarbij eigen accenten leggen, wat betekent dat de precieze invulling per land kan verschillen.
2. Het introduceren van een 𝗡𝗜𝗦𝟮-𝗸𝗲𝘂𝗿𝗺𝗲𝗿𝗸 lijkt 𝘃𝗼𝗼𝗿𝗯𝗮𝗿𝗶𝗴, aangezien er momenteel 𝗴𝗲𝗲𝗻 𝗰𝗼𝗻𝗰𝗿𝗲𝘁𝗲 𝘄𝗲𝘁𝗴𝗲𝘃𝗶𝗻𝗴 is die dit ondersteunt vraag ik mij af hoe dit keurmerk zich verhoudt tot de officiële implementatie van de NIS2-richtlijn en op welke wettelijke basis het is gestoeld. Dit kan een 𝗼𝗻𝘁𝗲𝗿𝗲𝗰𝗵𝘁𝗲 𝗶𝗹𝗹𝘂𝘀𝗶𝗲 𝘃𝗮𝗻 𝗰𝗼𝗺𝗽𝗹𝗶𝗮𝗻𝗰𝗲 wekken.
3. Verplichting voor mkb-bedrijven: In het artikel 𝘄𝗼𝗿𝗱𝘁 𝗴𝗲𝘀𝘂𝗴𝗴𝗲𝗿𝗲𝗲𝗿𝗱 dat 𝗺𝗸𝗯-𝗯𝗲𝗱𝗿𝗶𝗷𝘃𝗲𝗻 𝘃𝗲𝗿𝗽𝗹𝗶𝗰𝗵𝘁 zijn om aan bepaalde 𝗡𝗜𝗦𝟮-𝗲𝗶𝘀𝗲𝗻 te voldoen. Echter, de NIS2-richtlijn richt zich primair op essentiële en belangrijke entiteiten. Hoewel toeleveranciers indirect worden beïnvloed, is het 𝗻𝗶𝗲𝘁 𝘇𝗼 dat alle mkb-bedrijven direct onder deze verplichtingen vallen.
4. 𝗨𝗻𝗶𝗳𝗼𝗿𝗺𝗶𝘁𝗲𝗶𝘁 𝗯𝗶𝗻𝗻𝗲𝗻 𝗘𝘂𝗿𝗼𝗽𝗮: Het idee dat één keurmerk in heel Europa voldoende zou zijn, 𝗻𝗲𝗴𝗲𝗲𝗿𝘁 het feit dat elke lidstaat de richtlijn op eigen wijze implementeert. Dit 𝗸𝗮𝗻 𝗹𝗲𝗶𝗱𝗲𝗻 𝘁𝗼𝘁 𝘃𝗲𝗿𝘀𝗰𝗵𝗶𝗹𝗹𝗲𝗻 in nationale wetgeving, waardoor een enkel keurmerk mogelijk 𝗻𝗶𝗲𝘁 𝗼𝘃𝗲𝗿𝗮𝗹 𝗲𝗿𝗸𝗲𝗻𝗱 wordt.
5. Dynamiek van de norm: Hoewel het 𝗽𝗼𝘀𝗶𝘁𝗶𝗲𝗳 is dat het keurmerk 𝗿𝗲𝗸𝗲𝗻𝗶𝗻𝗴 𝗵𝗼𝘂𝗱𝘁 met nieuwe dreigingen zoals 𝗔𝗜-𝗴𝗲𝗱𝗿𝗲𝘃𝗲𝗻 𝗰𝘆𝗯𝗲𝗿𝗮𝗮𝗻𝘃𝗮𝗹𝗹𝗲𝗻, is het belangrijk te benadrukken dat 𝗰𝗼𝗺𝗽𝗹𝗶𝗮𝗻𝗰𝗲 𝗲𝗲𝗻 𝗰𝗼𝗻𝘁𝗶𝗻𝘂 𝗽𝗿𝗼𝗰𝗲𝘀 is. Het behalen van een 𝗸𝗲𝘂𝗿𝗺𝗲𝗿𝗸 𝗶𝘀 𝘀𝗹𝗲𝗰𝗵𝘁𝘀 𝗲𝗲𝗻 𝗺𝗼𝗺𝗲𝗻𝘁𝗼𝗽𝗻𝗮𝗺𝗲 en biedt geen garantie voor voortdurende naleving van wet- en regelgeving. 𝗧𝗲𝗿𝘄𝗶𝗷𝗹 𝗵𝗲𝘁 𝗷𝘂𝗶𝘀𝘁 𝗴𝗮𝗮𝘁 𝗼𝗺 𝗲𝗲𝗻 𝘄𝗲𝗲𝗿𝗯𝗮𝗿𝗲 𝗼𝗿𝗴𝗮𝗻𝗶𝘀𝗮𝘁𝗶𝗲 𝘁𝗲 𝗯𝗼𝘂𝘄𝗲𝗻. 𝗖𝗼𝗺𝗽𝗹𝗶𝗮𝗻𝗰𝗲 𝗶𝘀 𝗶𝗻 𝗱𝗶𝗲 𝘇𝗶𝗻 𝗻𝗲𝘃𝗲𝗻𝗴𝗲𝘀𝗰𝗵𝗶𝗸𝘁; 𝘇𝗶𝗷 𝘃𝗼𝗹𝗴𝘁 𝘂𝗶𝘁 𝗱𝗲 𝘄𝗲𝗲𝗿𝗯𝗮𝗮𝗿𝗵𝗲𝗶𝗱, 𝗻𝗶𝗲𝘁 𝗮𝗻𝗱𝗲𝗿𝘀𝗼𝗺.
Door: Michael Soekhoe , CEO & Founder CyberNativ B.V. | Strategic Cyber Defense