Redactie - 11 oktober 2023

Vijf misvattingen rond NIS2

Organisaties die van essentieel of vitaal belang zijn voor de maatschappij moeten voldoen aan de nieuwe ‘Network and Information Security’-richtlijn (NIS2), en dat blijkt niet eenvoudig. Bovendien is er nogal wat informatie-‘ruis’ en worden er onwaarheden gedeeld. SoftwareOne signaleert vijf veelvoorkomende misverstanden, en beschrijft hoe het werkelijk zit.

Vijf misvattingen rond NIS2 image

1 - NIS2 is een taak voor IT

Dit is onjuist. NIS2 raakt de hele organisatie. De afdeling IT is medeverantwoordelijk voor het uitvoeren van risicobeheersing en de bijbehorende techniek. Directie en management moet waken over de continuïteit van de organisatie en informatiesystemen. Zij hebben als taak om het beleid op te stellen, goed te keuren, te controleren en budget toe te kennen. Ook raakt het bijvoorbeeld de HR-afdeling, waar niet alleen security awareness-training worden geregeld, maar ook het tijdig doorgeven van uitdienstmeldingen, zodat systeemrechten direct ingetrokken worden.

2 - Met NIS2 weet de overheid alles van mijn organisatie

Nee, dat klopt niet. Vanuit NIS2 heeft de overheid diverse expertise centers aangewezen, zoals o.a. CERT (Computer Emergency Response Team), voor het delen van kennis en het geven van advies. Ook treden zij op als meldpunt. Pas bij het constateren van een NIS2-incident geldt de meldplicht. Dan moet je organisatie een zo compleet mogelijk technisch gedetailleerd verslag uitbrengen. Het doel is om de impact van het incident, risico’s voor onze maatschappij en het economisch verkeer goed in te schatten. Het gaat dus alleen om technische informatie.

3 - NIS2 implementeren kost veel tijd en geld

Dat kan, maar hoeft niet. Als je organisatie al werkt volgens een IT gerelateerde ISO- of NEN-normering geeft dit je een grote voorsprong. Dan ligt de nadruk met name op de technische inrichting en de NIS2 Meldplicht. Veel organisaties hebben al een prima IT-omgeving, maar zullen wel extra budget moeten inzetten om hun veiligheidsgraad te verhogen. Denk aan extra licenties, redundante techniek, kosten voor implementatie maar ook aan awareness trainingen en simulatietesten.

Als de organisatie niet hoeft te voldoen aan een IT gerelateerde ISO- of NEN-normering, is het toch belangrijk om de processen en technische inrichting goed te documenteren en regelmatig te evalueren.

4 - NIS2 leidt tot boetes

Ja, als NIS2 niet eind oktober 2024 volledig is ingericht, is de organisatie in overtreding. Dit kan leiden tot een geldboete van een paar procent van de jaaromzet tot vele miljoenen. Als advies vanuit het CERT niet wordt opgevolgd, volgen er waarschuwingen en worden boetes verhoogd. Naast een geldboete geldt er ook persoonlijke aansprakelijkheid indien de verantwoordelijke functionaris bij herhaling geen verbetering doorvoert.

5 - NIS2 komt nu niet uit, we wachten op NIS3

Dit is heel onverstandig. Met NIS2 hebben de Europese Lidstaten een duidelijk signaal gegeven dat cyberrisico’s niet te onderschatten zijn en grotere schades opleveren. Het is de verwachting dat binnen enkele jaren een verdere NIS2 verzwaring doorgevoerd gaat worden. Die zal dan mogelijk NIS3 gaat heten. Nederland, als zelfstandig lidstaat binnen de EU, kan op specifieke onderdelen meer nadruk of urgentie doorvoeren, zoals Nederland dat ook heeft gedaan met de AVG. Om eventuele achterstand niet verder te laten oplopen is het advies serieus aan de slag te gaan met NIS2.

Dennis van Leeuwen, solutions specialist Digital Workplace bij SoftwareOne: “NIS2 heeft als doel de Europese digitale en economische weerbaarheid te verbeteren. De richtlijn zorgt voor een flink aantal wijzigingen op het gebied van cybersecurity. Wij helpen organisaties bij het voldoen aan de nieuwe richtlijn en merken dat er hier en daar onjuiste denkbeelden bestaan. Het is belangrijk goede informatie te verkrijgen Het gaat niet alleen om overheidsdiensten, zorginstellingen of waterbeheerbedrijven, maar bijvoorbeeld ook om energieaanbieders en bedrijven die actief zijn in de financiële- of transportsector. Als je niet aan NIS2 voldoet, loopt je het risico op grote boetes en ben je bovendien persoonlijk aansprakelijk. Het is dus essentieel om goed geïnformeerd te zijn.”

Axians 12/11/2024 t/m 26/11/2024 BN+BW