Niet naleven cybersecurityrichtlijn NIS2 kan zelfs bedrijfsbestuur aansprakelijk stellen

September 2023, Financieel Dagblad

De nieuwe cybersecurityrichtlijn NIS2, de herziene Netwerk- en Informatiebeveiligingsrichtlijn, heeft als doel om de Cyberveiligheid en weerbaarheid van Europese netwerken en systemen te verhogen. Op zich is daar niks mis mee, maar Frank van Olphen, directeur van de onafhankelijke gespecialiseerde entiteit CS2, onderdeel van Croonwolter&dros, benadrukt daarbij dat de impact van de regelgeving niet onderschat moet worden.

Eerst even de richtlijn zelf. Deze is reeds vastgesteld in 2022 waarna de implementatietermijn van 21 maanden is gestart. De planning is dat de Nederlandse wetgeving eind 2024 wordt geïmplementeerd waarna er een 10  maandsperiode is voor de bedrijven/organisaties om aan deze wetgeving te voldoen. Het doel hiervan is een uniform en hoog beveiligingsniveau van netwerken en systemen in de hele Europese Unie te borgen. Een belangrijke verandering ten opzichte van de oorspronkelijke richtlijn is dat bedrijven sneller cyberincidenten moeten melden. Het niet naleven van de cybersecurityrichtlijn NIS2 kan zelfs leiden tot het bedrijfsbestuur aansprakelijk stellen. 

De NIS2 zich in twee typen sectoren, namelijk essentiële en belangrijke entiteiten. Essentiële entiteiten bevinden zich in sectoren zoals energie, banken, financiële markten, zorg, digitale infrastructuur, en overheidsdiensten. Belangrijke entiteiten bevinden zich in sectoren als post- en koeriersdiensten, voedselproductie, levensmiddelen, chemie en onderzoek. Deze classificatie is bepalend voor invloed op de verantwoordelijkheid van organisaties.  

"Van essentieel belang is dat een organisatie goed inzicht heeft in het risicoprofiel van de organisatie: waar liggen de kwetsbaarheden en wat moet ik doen om deze te beschermen?”
Frank van Olphen, directeur CS2

Frank van Olphen: “We krijgen in de komende jaren te maken met een overvloed aan nieuwe cyber security-regelgeving. Die dienen allemaal specifieke doelen, terwijl de NIS2 van al die maatregelen de grootste algemene invloed heeft. Er wordt breed beseft dat deze richtlijn op ons afkomt, en onze klanten vragen zich wel af: wat heeft dit voor invloed op mijn organisatie, wat moet ik doen en welke maatregelen moet ik nemen?  Van essentieel belang hierbij is dat een organisatie goed inzicht heeft in het risicoprofiel van de  organisatie: waar liggen de kwetsbaarheden en wat moet ik doen om deze te beschermen?” 

Drie aspecten

Klanten die door CS2 worden begeleidt bij hun NIS2-aanpak krijgen op drie aspecten ondersteuning te weten; mens, organisatie en techniek. Strategie en beleid is daar een onderdeel van. Er is een team beschikbaar dat zich bezighoudt met strategie, beleid en procedures in relatie tot de NIS2-richtlijn. Er wordt gewerkt vanuit een risicogestuurde aanpak waarbij de risico-inventarisatie de basis vormt voor de prioritering van de te nemen maatregelen. “Wij maken een risk assessment op basis waarvan een risicoprofiel ontstaat. En dat bepaalt wat er moet gebeuren aan te nemen maatregelen, zodat de klant voldoet aan de voorgeschreven digitale weerbaarheid.”
Wat daaruit volgt, is dat CS2 de opdrachtgever meeneemt in de bewustwording en training over de te nemen stappen. Het derde aspect heeft betrekking op de te nemen technische maatregelen om er daadwerkelijk voor te zorgen dat invulling aan de richtlijn wordt gegeven. “Dus dan vertaal je eigenlijk praktisch je strategie en beleid naar toepassingen binnen de verschillende systemen in je bedrijf.”  

OT versus IT 

Veel bedrijven/organisaties, signaleert Van Olphen, menen dat ze met een paar technische aanpassingen in het systeem voldoende gedekt zijn. Dat is echter zeker niet het geval, waarschuwt hij, want de NIS2-verordening heeft vooral van doen met procedurele en strategische beslissingen. Die zijn voor misschien wel zeventig procent bepalend om aan te haken bij de cyber securityrichtlijn. “We zitten bij veel bedrijven nog in de bewustwordingsfase om hen te demonstreren dat het niet alleen gaat om een technische aanpassing, maar op de eerste plaats om een strategische beslissing.” 
Daar komt nog bij dat veel bedrijven de overtuiging hebben dat hun netwerk goed is beveiligd. Van Olphen roept bedrijven op die conclusie niet al te snel te trekken. “Onze focus ligt voornamelijk aan de kant van de operationele techniek (OT) niet aan de IT-kant. Met onze risk assessmentanalyse kijken we welke maatregelen er inmiddels zijn getroffen aan zowel de IT- als OT-kant, op zowel strategisch, tactisch en dus operationeel vlak. Wij kijken waar we een harde scheiding moeten maken tussen operationele techniek en het informatienetwerk, maar we kijken ook waar we die samen kunnen laten lopen. Ons motto in deze ‘Samen waar het kan – gescheiden waar het moet’.” 

Operationele techniek

Tot slot: wat CS2 onderscheidend maakt ten opzichte van andere cyber security-aanbieders, is dat CS2 de focus heeft op uw operationele techniek (OT) zonder de IT technische kant uit het oog te verliezen. Daar waar veel bedrijven zich focussen op een deel van het cyber security domein is CS2 de verbindende factor tussen mens, techniek en organisatie. Daarmee is het bedrijf vooral gericht op de continuïteit van de bedrijfsvoering en de beschikbaarheid van systemen.  

“Wij maken de verbinding tussen techniek en organisatie, hebben veel ervaring met het implementeren, configureren en onderhouden van systemen.”

Feiten 

Eén op de vijf bedrijven is tegenwoordig slachtoffer van cybercriminaliteit. Dat kan allerlei vormen aannemen, van digitale inbraken tot datalekken of DDoS-aanvallen. In totaal gaat het om een schadebedrag van circa 10 miljard euro op jaarbasis. Het opvallende feit doet zich voor dat één op de achtduizend bedrijven door brand gedupeerd raken, terwijl daar de meest stringente eisen voor gelden. “Als je niet beseft welk cyber security-risico je loopt, dan is dat je hoofd in het zand steken.”
(Bron: Cyberveilig Nederland)

Cyber Security for Control Systems (CS2)

CS2 is een zelfstandig, specialistisch en onafhankelijke entiteit binnen Croonwolter&dros. CS2 onderzoekt, adviseert en begeleidt bij al uw cyber security vragen.

Wilt u ook uw bedrijfsvoering binnen de dynamische digitale werkelijkheid van vandaag de dag borgen?

Stuur verhaal door