NIS2 Impact en stappenplan

January 15, 2023 4 minuten

NIS2 Impact en stappenplan

Nieuwe cyberwet (NIS2) in 2024: hoe bereidt u zich voor?

Key Takeaways

Grotere reikwijdte en strengere eisen onder NIS2: Ook organisaties in de toeleveringsketen kunnen indirect onder de richtlijn vallen. De eisen omvatten onder andere risicobeheer, incidentmelding, en toezicht op leveranciers.
Strengere handvaing en hogere boetes: Organisaties riskeren boetes tot €10 miljoen of 2% van de wereldwijde omzet. Bestuurders worden verantwoordelijk voor cybermaatregelen en kunnen aansprakelijk worden gesteld.
Voorbereiding vereist samenwerking: Start met een GAP-analyse en stel een roadmap op. Cyberweerbaarheid vraagt om samenwerking, risicobeheer, incidentafhandeling en continue verbetering.

NIS2 vraagt om cultuurverandering

NIS2 is er voor u het weet. De nieuwe cyberwetgeving op basis van de EU-richtlijn zal al vanaf eind 2024 gevolgen hebben voor veel organisaties en tegelijkertijd ook kansen bieden. Meer organisaties dan voorheen zullen worden aangemerkt als ‘belangrijk’ of ‘essentieel’ en te maken krijgen met wettelijke verplichtingen. NIS2 vraagt om de volledige focus op het goed inrichten van cybersecurity.

Veel organisaties zullen dit zien als het puur afvinken van verplichtingen; maar daarmee slaan ze de plank mis. Het biedt namelijk ook de kans om serieus werk te maken van een organisatiecultuur waarin cybersecurity in alle lagen is verankerd. Dit stelt organisaties in staat zich als vertrouwde partner te profileren, investeringen aan te trekken en hun concurrentiepositie te vergroten. Maar een succesvolle, effectieve implementatie van NIS2 is afhankelijk van hoe organisaties hun cyberstrategie aanpassen en hierover naar iedereen communiceren. Dit doe je er niet even bij; het vraagt om een cultuurverandering.

Wat verandert er precies?

De Network and Information Security directive (NIS2) is veeleisender dan de huidige
cyberwet en komt met strengere maatregelen. De richtlijn heeft tot doel het:

versterken van capaciteiten op het gebied van cyberbeveiliging binnen de hele EU;
beperken van kwetsbaarheden in het netwerk en in de informatiesystemen die zijn gebruikt binnen essentiële en belangrijke sectoren;
waarborgen van de continuïteit van deze organisaties wanneer zij zijn aangevallen en een cyberincident het gevolg is.

Wat is het risico?

Het risico bestaat dat organisaties de nieuwe wetgeving hetzelfde benaderen als bijvoorbeeld de introductie van de AVG enige jaren geleden. Daar werd twee jaar voor uitgetrokken. In 2016 zei men: ‘Dat komt wel, en met die boetes zal het ook zo’n vaart niet lopen’. Door die instelling begon het naleven van de privacywetgeving pas in 2020 echt te leven. Dit dreigt
weer te gebeuren, vooral omdat bestuurders niet precies weten wat hen te wachten staat. Er is nog veel onbekendheid met het onderwerp, laat staan dat de organisatie erop ingericht is om te voldoen aan de eisen vanuit NIS2. Anders dan bij de privacywetgeving echter kunnen bestuurders nu persoonlijk aansprakelijk gesteld worden voor het niet nakomen van hun verplichtingen. Dit geldt zelfs voor de CISO binnen de organisatie, mits deze de relevante bevoegdheden en verantwoordelijkheden heeft. Dit gaat dus een stuk verder dan de boetes bij de privacywetgeving.

Wat betekent dit voor bestuurders?

De nieuwe wetgeving brengt (aansprakelijkheids)risico’s met zich mee. Om deze het hoofd te kunnen bieden, is een cultuurverandering binnen organisaties nodig, een andere mindset. Het belang van cybersecurity moet tot in de haarvaten van de organisatie zijn doorgedrongen. Daarbij is het de taak van het bestuur om uit te dragen dat cyberrisico’s de hoogste prioriteit hebben. Als de ‘tone at the top’ niet verandert, gaat deze boodschap nooit landen bij managers en medewerkers.

De kenmerken van een NIS2-cyberveilige organisatie

Een organisatie die deze benodigde cultuurverandering heeft doorgemaakt, kenmerkt zich als volgt:

Er wordt door het bestuur duidelijk gecommuniceerd wat de visie en waarden zijn die horen bij NIS2. Managers en medewerkers begrijpen deze communicatie en voeren de benodigde veranderingen door in de organisatie.
Cybersecurity is als onderdeel in de organisatiestrategie opgenomen en toont hiermee aan dat de organisatie weerbaarder wil zijn tegen cyberaanvallen.
Het bestuur vertoont het gewenste gedrag om de veranderingen binnen de cultuur van de organisatie uit te dragen naar iedereen. Medewerkers accepteren de veranderingen als zij zien dat het bestuur en de managers dit ook doen.
De mindset, vaardigheden en gewoonten van iedereen binnen de organisatie worden op peil gehouden door training en ontwikkeling. Iedereen is ervan doordrongen dat elke organisatie vatbaar is voor een cyberaanval.
De cultuurverandering wordt geëvalueerd zodat problemen aan de bestuurstafel besproken worden en veranderingen kunnen worden doorgevoerd. Het bestuur luistert naar de dynamiek van de organisatie, optimaliseert waar nodig en past de effectiviteit naar aanleiding van ontvangen feedback.
Het bestuur is zich ervan bewust dat cultuurveranderingen tijd kosten en is vasthoudend aan haar visie om cybersecurity binnen de organisatie te verbeteren, ook als het even niet mee zit.