NIS2 is een thema waar veel om te doen is. Bedrijven zijn zich aan het voorbereiden op de nieuwe Europese richtlijn, maar tegelijk is er nog onduidelijkheid over hoe de Nederlandse overheid het vertaalt naar wetgeving. Er zit in de komende twaalf maanden hoe dan ook verandering in de pijplijn, met als gevolg de nodige verbeteringen op het gebied van security. Om organisaties op weg te helpen, besteden we op Techzine extra aandacht aan het onderwerp.
Dat doen we aan de hand van een tweeluik aan artikelen die we met input van experts samenstellen. Hiervoor organiseerden we een rondetafelgesprek dat meerdere aspecten belicht. Aan tafel namen Jan Heijdra (Field CTO Security bij Cisco Benelux), Mark Hupkens (Head of Secure Enterprise Management/Lead Consulting & Advisory bij Orange Cyberdefense), Pieter Molen (Technical Director Benelux bij Trend Micro), Willemijn Rodenburg (Relatiemanager Overheid bij Fox-IT) en Filip Verloy (Field CTO EMEA & APJ Rx bij Rubrik) plaats. Met onze gasten bespreken we de staat van NIS2, hoever bedrijven en de maatschappij zijn en de gevolgen.
Onduidelijkheid bij bedrijven
We beginnen de discussie met een onderwerp dat eigenlijk niet te negeren valt. De Europese Unie schrijft namelijk voor dat lidstaten de NIS2 uiterlijk 17 oktober omgezet moeten hebben naar wetgeving. Nederland gaat die deadline niet halen. Daarmee hebben bedrijven wel de NIS2 zelf als richtlijntekst om te raadplegen, maar de exacte details voor Nederland ontbreken. Naar verwachting zal de overheid na additionele stappen in de eerste periode van 2025 de wet rond hebben, al blijft richting de herfst van 2025 ook een optie. Als argument wordt aangedragen dat de extra tijd nodig is om zorgvuldig de wet op te stellen en implementeren.
Toch valt het overschrijden van de deadline niet geheel goed in de markt. Ook Rodenburg van Fox-IT merkt de gevolgen van het uitstel. “Het niet halen van de deadline maakt zeker uit als het gaat om timing. Daar waar het gaat om organisaties die moeten voldoen aan bepaalde wet- en regelgeving, is het momentum wel gedaald. En daarmee ook de bereidwilligheid van organisaties. De NIS2 is minder in het vizier.”
Tijdens de rondetafel was er nog iets meer onduidelijkheid dan nu. Inmiddels ligt er namelijk een concept Cyberbeveiligingswet (Cbw). Dit is nog niet een defenitieve versie, aangezien er nog een consultatieperiode loopt en de beoordeling door de Raad van State volgt. Ook heeft de minister bevestigd dat de NIS2-invoering in het tweede of derde kwartaal van 2025 plaatsvindt.
Molen van Trend Micro sluit zich aan bij die woorden en ziet dat het uitstel het gevoel geeft dat NIS2 minder belangrijk is. “Als de Nederlandse overheid de wetgeving uitstelt, denken organisatie dat het niet zo belangrijk zou zijn”, aldus Molen. Het momentum is daarmee weg en dat brengt de bereidwilligheid om stappen te zetten in gevaar. En dat terwijl de NIS2 juist is uitgeschreven om het securityniveau te verbeteren, iets wat gezien de cyberdreigingen haast niet kan wachten.
Het van de radar raken van de richtlijn is overigens slechts een eerste bijkomstigheid. Het uitstel veroorzaakt namelijk ook meer onduidelijkheid in de markt. Veel bedrijven weten niet waar ze moeten beginnen en wat ze moeten doen, ondanks dat de NIS2-tekst van de EU er al wel ligt. Verloy van Rubrik ziet op dat vlak duidelijke verschillen tussen Europese bedrijven. In België is de wettekst inmiddels wel rond, waardoor Verloy ook kan vergelijken met organisaties uit andere landen. In de gesprekken met Nederlandse bedrijven ziet hij dan ook terug dat ze niet weten wat de NIS2 gaat inhouden. “Ze voldoen wel aan de algemene regels van de zorgplicht. Maar als je vraagt hoe ze die precies en secuur invullen, voel je ze schuiven op de stoel. Ze weten het niet zeker.”
Die onduidelijkheid is extra vervelend als het aankomt op de voorgeschreven plichten binnen de NIS2. Het schept weinig duidelijkheid over de zorgplicht en meldplicht. Die eerste is bedoeld om organisaties stappen te laten zetten rond het beschermen van systemen, terwijl de tweede gaat om het melden van incidenten bij toezichthouders. Het kan zomaar zijn dat op 17 oktober aan de zorgplicht voldaan moet worden. Dit terwijl de meldplicht mogelijk op een later moment in kan gaan. En hoe ziet die meldplicht er straks precies uit? Nu lijkt het erop dat binnen 24 uur na ontdekking van een incident een melding gemaakt moet worden bij de juiste instanties. Dat kunnen meerdere instanties zijn, omdat op sectoraal niveau verschillende toezichthouders actief zijn. Bovendien lijkt ook een rapport over het incident binnen 72 uur noodzakelijk. Over zulke onderdelen moet meer duidelijkheid ontstaan.
Maatregelen treffen
Wil je straks de zorgplicht en meldplicht goed in kunnen vullen, dan zou je nu al stappen moeten zetten. Anders dreig je als bedrijf niet te voldoen aan de komende regelgeving. Er kan na een NIS2-assessment te veel nodig zijn om daadwerkelijk de compliance-status te bereiken. Bovendien dreigt de situatie te ontstaan dat de securityexperts die kunnen helpen bij het opwaarderen van security, straks geen tijd meer hebben vanwege grote vraag door partijen die last-minute compliant willen worden.
Nu handelen kan daarmee ellende in de toekomst voorkomen, al wijst Heijdra van Cisco vooral naar het doel van de NIS2 dat de intrinsieke motivatie moet zijn. “De reden dat de richtlijn naar buitenkomt is om de dreiging van cyberaanvallen. De dreiging is er nu al, die dreiging is er op 17 oktober en die dreiging is er op de nieuwe datum. Dus eigenlijk zou de verschuiving niet uit moeten maken bij het doen van een risicoassessment. En wat moeten die organisaties allemaal doen om zich te kunnen weren tegen wat vandaag de dag allemaal in de wereld speelt?”
Die logische prikkel van investeren in cybersecurity en daarmee het securityniveau verbeteren kan dus helpen bij het bereiken van NIS2-compliance. Hupkens van Orange Cyberdefense heeft echter wel begrip voor de afwachtende houding van sommige bedrijven. Natuurlijk is het belangrijk het doel voor ogen te hebben, maar daar spelen de details een rol in. “Een bestuurder moet bijvoorbeeld opgeleid zijn voor NIS2. Wat houdt zo’n opleiding nou concreet in? Wanneer ben je als bestuurder voldoende geïnformeerd? Daar zie ik in de NIS2 nog niet veel over terug. Hopelijk dat dat in het aanstaande wetsvoorstel (inmiddels bekend als de Cyberbeveiligingswet, red.) wat meer zichtbaar is. Dan wordt pas duidelijk waar de klemtoon op gelegd gaat worden. In die zin snap ik de bedrijven wel, want je weet niet waar je op moet investeren. Zeker wanneer je als mkb+ geen oneindig budget hebt en het dus in één keer goed moet doen.”
Ieder type bedrijf zal uiteindelijk anders naar die details gaan kijken. Je kan alleen al onderscheid maken tussen grote organisaties en mkb’ers, maar bijvoorbeeld ook tussen de sectoren onderling. Grote bedrijven hebben doorgaans al veel maatregelen getroffen rond cybersecurity en zijn een eind op weg. Dit door bijvoorbeeld de eerdere omarming van de NIS1. Bij het mkb moeten ze vaak pas binnenkort aan de nieuwe richtlijn voldoen, omdat de NIS1 niet eerder gold. De kleinere bedrijven moeten nu ineens vol investeren, maar hebben misschien niet de middelen. Ze kunnen maar een keer investeren en wachten daarom tot de wettekst definitief is om te investeren en beleid te maken.
De taal spreken
Volgens verschillende deelnemers van de rondetafel begint het daarom vooral bij de wil om stappen te zetten. En die wil is er, zowel bij de grote organisaties als de kleinere bedrijven. Molen geeft aan dat de awareness bij bedrijven speelt en dat ze cybersecurity belangrijk vinden. “Alleen wat het dan betekent en wat ze moeten doen, dat weten ze niet. Een recent onderzoek toonde aan dat 9 van de 10 securityprofessionals regelmatig ervaart dat de risico’s die zij presenteren aan het C-level (management, red.) eigenlijk worden gedowngraded. C-level vindt het wel meevallen en denkt dat het bij hen niet speelt.” De directeuren weten door de vele aandacht voor datalekken in het nieuws inmiddels dat cybersecurity belangrijk is, wat precies tot die awareness leidt. Maar tegelijkertijd vloekt het met de onderschatting van het risico voor het eigen bedrijf.
Precies op dat vlak ziet ook Verloy verschillende percepties. “Vraag aan een CEO hoe veilig het bedrijf is, die beoordeelt het beveiligingsniveau met een negen. Maar hoe verder je de techmensen opzoekt, hoe pessimistischer men is.”
Volgens Hupkens is daar wel een duidelijk oorzaak voor aan te wijzen. Hij ziet een probleem in de vertaalslag van securityprofessionals richting het algemeen management. Het blijft een uitdaging om over te brengen wat de concrete risico’s en de impact zijn. “Een financieel directeur spreekt en denkt in business risico’s en niet vanuit securityrisico’s. Als je een securityprofessional rechtstreeks tegenover een CFO zet, dan is dat bijna water en vuur. Ze spreken elkaars taal simpelweg niet.”
Rodenburg merkt op dat in deze discussie tussen securityexperts en het management op basis van bedrijfsgrootte verschillen zijn. Een uitgebreid C-levelbestuur zit alleen bij die grote onderneming. Bij het mkb heb je een directeur, waar de zaken weer heel anders geregeld zijn “Bij mkb is überhaupt best veel uitbesteed. Qua kennis hebben ze dan niet veel in huis. Daar lopen ze tegen andere obstakels aan.” Zo weet men bij mkb’ers vaak niet welke vragen ze moeten stellen en welke eisen ze kunnen stellen bij partijen waar ze zaken onderbrengen. Bovendien kan het uitbesteden leiden tot het gebruiken van meerdere outsourcing-partijen, die niet van elkaar weten wat er gebeurt. Dat kan weer tot overlap en miscommunicatie leiden.
Bijna niemand ontkomt aan NIS2
De weg naar NIS2-compliance en het bereiken van het juiste securityniveau zal dan ook per organisatie verschillen. Daarbij is er een groot verschil tussen voorheen al onder NIS1 vallen, en het compleet nieuw zijn met de materie doordat NIS2 nu ook voor jouw organisatie gaat gelden. Heijdra noemt de overgang van NIS1-compliant bedrijven een natuurlijk stap naar NIS2. “Zij zijn er al helemaal mee bezig en zitten in die processen. Ik denk dat de schoen met name wringt bij de partijen die er nu nieuw onder gaan vallen. Dat zijn vaak de kleinere minder volwassen organisaties als het gaat om security.”
Hupkens ziet hierbij nog de vraag ontstaan welke partijen daadwerkelijk onder NIS2 vallen. Voor wetgeving, maar voor andere bedrijven een stuk minder. “In de categorisering zitten nog hele rare en onduidelijke constructies. Als je met voedsel bezig bent dan val je eronder. Maar als je met voer bezig bent val je in principe niet onder de NIS2. Het gekke is dat deze voerbedrijven vanuit de supply chain-gedachte weer wel de NIS2 dienen te volgen. Je krijgt een heel raar spanningsveld. Je weet dat je er door geraakt gaat worden, maar je hoeft er officieel niet aan te voldoen.”
Deze hele toeleveringsketenkwestie zorgt ervoor dat de wetgeving straks voor veel bedrijven cruciaal zal zijn. Straks zijn er direct of indirect veel organisaties die onder de NIS2 vallen, ziet Molen. “Omdat ze bijvoorbeeld leverancier zijn van een bedrijf dat eronder valt. En dat veroorzaakt grote impact. Het is van invloed op hun bedrijfsvoering omdat bepaalde organisaties geen contracten meer met ze willen sluiten. Het is dan een vereiste binnen de contracten. En dan ontstaat er ineens een nare situatie voor die kleinere organisaties.”
Van compliance naar betere security
Wat dat betreft lijkt met de NIS2 de realiteit te gaan veranderen. Bedrijven hebben straks bijna geen andere keuze meer dan de juiste securitymaatregelen treffen om zo aan te tonen dat ze voldoen aan de standaarden. Precies die ontwikkeling zijn wat Rodenburg en Verloy betreft goede winst waar we met z’n allen profijt van hebben. Rodenburg: “We zeggen hierbij security verslaat compliance, maar ga eerst eens beginnen met compliance. Dan zijn we een eind op weg. Vervolgens gaan we optimaliseren met security.” Verloy beaamt dit door toe te voegen: “Vanuit de compliance-hoek worden basiszaken opgelegd die security naar een hoger niveau tillen. Als die basis geforceerd wordt door regelgeving, zetten we al stappen.”
Compliant zijn wil daarmee zeggen dat je als bedrijf een goed fundament hebt gelegd. Een bedrijf dat nu geen tot weinig securitystappen heeft gezet, zal door de NIS2 dan ook veiliger worden. Met het NIS2-framework zetten organisaties dan ook behoorlijk wat stappen. Dat heeft voor een bedrijf an sich voordelen, maar zeker ook als land en continent als geheel. NIS2 zal daarmee naast de bedrijven meer secure maken, ook de hele supply chain versterken. Dat moet iedereen helpen; van burgers tot bedrijven en de overheid. Op die manier zijn we als samenleving weerbaarder tegen cyberaanvallen.
Dit was het eerste verhaal over ons NIS2-tweeluik. In een volgend artikel gaan we verder in op waar je als bedrijf begint en wat je kan doen om je securityniveau te verhogen.