De Rijksoverheid heeft vandaag de NIS2-Quickscan gelanceerd. Hiermee kunnen organisaties bepalen welke aanpassingen nodig zijn om aan de toekomstige NIS2-eisen te voldoen.
De NIS2-Quickscan bestaat uit 40 ja/nee-vragen gericht op IT- en security-werknemers binnen organisaties. Uiteindelijk geeft de tool advies over vervolgstappen, afhankelijk van de sector waarin men actief is.
Nieuwe vragenlijst
Het is niet de eerste NIS2-vragenlijst waar de overheid mee komt. Eerder lanceerde het een zelfevaluatietool waar organisaties mee konden ontdekken aan welke specifieke eisen men te voldoen had. De tool was vooral nuttig voor sectoren die onder de NIS2-richtlijn als essentieel of belangrijk werden gezien, zoals het bankwezen (essentieel) of afvalstoffenbeheer (belangrijk).
De nieuwe Quickscan lijkt bedoeld te zijn als vervolgstap, met specifieker advies dat volgt na het beantwoorden van de 40 vragen. Zelfs organisaties die eigenlijk niet onder de NIS2-regels zullen vallen, kunnen algemeen cyberveiligheidsadvies verwachten. Het eindrapport op basis van de antwoorden komt als PDF tevoorschijn en bevat een tabel met aandachtspunten. Allerlei aandachtspunten, van incidentbehandeling tot de houding ten opzichte van cryptografie, worden aangestipt.
Enigszins verwarrend
De nieuwe tool biedt een duidelijker eindresultaat waar organisaties meer op kunnen bouwen dan de zelfevaluatietool. Wel is de communicatie vanuit de Digital Trust Center, onderdeel van het Ministerie van Economische Zaken en Klimaat, niet kraakhelder. Hoewel de vorige tool volgens de berichtgeving nog altijd relevant is om te bepalen of men überhaupt met NIS2 rekening hoeft te houden, kan dat ook met de nieuwe Quickscan. In praktische zin lijkt enkel de nieuwe vragenlijst nog relevant.
Hoe dan ook nadert de NIS2-deadline van 17 oktober. Vanaf die datum moeten Europese lidstaten de NIS2-richtlijnen om hebben gezet naar nationale wetgeving. Nederland gaat die datum al niet halen. Het betekent dat organisaties dus nog steeds niet weten wanneer ze daadwerkelijk aan de nieuwe security-eisen moeten voldoen. “Het omzetten van de richtlijnen in nationale wetgeving vraagt meer tijd dan in eerste instantie werd verwacht”, schreef demissionair minister van Justitie en Veiligheid Dilan Yeşilgöz-Zegerius eind januari.
Aangezien de overheid zelf lijkt te hebben onderschat hoeveel voorbereiding NIS2 vergt, dienen organisaties ervan uit te gaan dat men het best zoveel mogelijk voorbereidingswerk alvast heeft afgerond. Hoewel de wettelijke eisen nog volgen, is de achterliggende gedachte simpelweg dat organisaties cyberweerbaarder worden dan voorheen. Daarvoor is het nooit te vroeg.
Lees ook: Nederland gaat NIS2-deadline van 17 oktober niet halen