De NIS2-richtlijn komt eraan. Deze zal in Nederland geïmplementeerd worden in de vorm van de Cyberbeveiligingswet. De richtlijn is gericht op risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. Het betreft hier Europese wetgeving met als doel het algemene weerbaarheidsniveau van alle bedrijven in de EU te verhogen. Wat kunnen bedrijven precies verwachten en welke voorbereidingen kunnen alvast getroffen worden, zodat men dadelijk niet voor verrassingen komt te staan? Wij vroegen het aan Patrick Spelt, Hoofd Toezicht Cybersecurity bij de Inspectie Leefomgeving en Transport (ILT) van het Ministerie van Infrastructuur en Waterstaat.
Spelt werkt nu bijna twee jaar aan de implementatie van wetgeving rondom cybersecurity, de uitvoering ervan en het toezicht daarop. “De deadline loopt dit najaar af, maar die gaat Nederland niet halen vanwege de complexiteit van de uitvoering. Die is zo ingewikkeld omdat er meerdere ministeries en partijen bij betrokken zijn.”
“De verwachting is dat de wet tijdens het derde kwartaal van 2025 in werking zal treden. Het is echter zeer belangrijk dat bedrijven direct aan de slag gaan! Immers, de risico’s die organisaties lopen, zijn er nu ook al. En in landen als België is de wet reeds ingegaan, waardoor de transportsector die grensoverschrijdend werkt, er al mee te maken heeft. Bovendien komen veel bedrijven voor het eerst met deze regels in aanraking, aangezien de huidige wetgeving alleen de aanbieders van essentiële diensten treft. Bedenk ook dat wanneer jouw bedrijf niet aan de regelgeving hoeft te voldoen, je wellicht samenwerkt met organisaties die dat wel moeten en daarom eisen moeten gaan stellen aan hun ketenpartners.”
Spelt adviseert te starten met de NIS2 Zelfevaluatie. Deze online vragenlijst geeft antwoord op de vraag óf jouw organisatie onder de NIS2-richtlijn valt en gekenmerkt wordt als ‘essentieel’ of ‘belangrijk’. Is dit het geval, dan kan men gebruikmaken van de online Quickscan NIS2-richtlijn. Deze geeft op hoofdlijnen inzicht in de huidige status van je cyberbeveiliging conform de strekking van de Europese NIS2-richtlijn.
Valt een bedrijf dadelijk onder de wet, dan zijn er drie verplichtingen: registratieplicht, meldplicht en zorgplicht. “De registratieplicht houdt in dat je jezelf kenbaar moet maken bij de overheid, in dit geval bij het National Cyber Security Center. Dat kan op dit moment nog niet, want het portaal is nog in ontwikkeling. Zodra je geregistreerd bent, heb je recht op ondersteuning bij incidenten en worden je gegevens doorgestuurd naar de toezichthouder. De meldplicht betekent dat je een melding moet doen zodra er een cybersecurity-incident binnen jouw organisatie plaatsvindt. Enerzijds zodat je ondersteuning kunt krijgen, anderzijds doe je daarmee automatisch een melding bij de toezichthouder.”
Valt jouw organisatie onder de categorie ‘essentieel’ dan word je proactief door de ILT bezocht. Bij de categorie ‘belangrijk’ vindt het toezicht achteraf plaats, dus pas nadat er een cybersecurity-incident heeft plaatsgevonden. “Stel dat wij bij jou op bezoek komen voor een inspectie en constateren dat er voldoende maatregelen zijn getroffen, maar een cybercrimineel tóch door jouw beveiliging kon komen, dan gaan wij onderzoeken hoe dit kon gebeuren. Op die manier kunnen we de kwaliteit verbeteren, zowel van de bedrijven als de inspectie.”
Natuurlijk kan de oer-Hollandse vraag niet uitblijven: wat gaat dat de bedrijven allemaal kosten? Spelt antwoordt: “Ik zal een tegenvraag stellen: wat gaat het kosten als jouw bedrijf kopje onder gaat? Ik raad mensen altijd aan om bijvoorbeeld met Henny de Haas te gaan praten, zijn boek te lezen of zijn podcasts te beluisteren. Hij is eigenaar van Hoppenbrouwers, een van de grootste installatiebedrijven. Zijn bedrijf heeft een wereldwijde ransomware-aanval overleefd, onder andere omdat hij toevallig vlak voor die tijd een peperduur back-upsysteem had aangeschaft. Dat geld heeft zich driedubbel dwars terugbetaald omdat hij binnen twee dagen weer operationeel was mede dankzij zijn back-up. Qua investering zijn dit dus de afwegingen die bedrijven moeten maken. Ik weet zeker dat alle warehouses een dik slot op de deur hebben. Dat zou je ook verwachten op digitale deuren. Doe je dat niet, dan is het een beetje alsof je thuis al je deuren beveiligt, maar de achterdeur wagenwijd openzet en dat is vragen om problemen.”
Om efficiënt met dit vraagstuk aan de slag te gaan, is het goed te weten dat er allerlei initiatieven bestaan, waaronder cyberweerbaarheidsnetwerken. Sluit je je aan bij dergelijke samenwerkingsverbanden dan kun je hulp en advies krijgen, maar ook samen optrekken. Ook brancheorganisaties zoals TLN, bieden de nodige ondersteuning.
“Je hoeft niet bang te zijn voor de toezichthouder en we gaan ook echt niet direct boetes uitdelen. We hebben een interventiestrategie en zetten boetes met name in voor bedrijven die zich echt niet aan de regels willen houden. Stel dat tijdens een inspectie zaken niet in orde blijken te zijn, dan krijg je eerst de tijd om deze op te lossen. We hebben er vooral baat bij dat bedrijven begrijpen wat er gevraagd wordt en daar mee aan de slag gaan. Dát draagt namelijk echt bij aan die weerbaarheid.”
Overigens kan men ook met andere inspectiediensten te maken krijgen, zoals de Rijksinspectie Digitale Infrastructuur. “Inspectiediensten werken daarin samen, zodat men niet te maken krijgt met twee inspecties die langs elkaar heen werken.”
Spelt eindigt met een laatste tip voor wat betreft het invullen van de zorgplicht: “Onze inspectiekaders zijn gebaseerd op industry frameworks. Mijn tip is dan ook: ga aan de slag met ISO 27001 en 2, de NEN of het NIST Cybersecurity Framework. Dat is nooit weggegooid geld, want wij gaan namelijk dezelfde kaders hanteren.”