Cyberveilig Nederland over NIS2-uitstel: papieren werkelijkheid versus praktijk
Cybersecurity heeft echt een oppepper nodig, waaronder meer erkenning en acceptatie op C-level. De Europese NIS2-richtlijn moet hiervoor zorgen, maar implementatie in Nederlandse wetgeving loopt vertraging op. Liesbeth Holterman, strategisch adviseur bij Cyberveilig Nederland, is toch wat teleurgesteld over dit uitstel. Zij deelt met AG Connect haar gedachten en haalt daarbij ook even Johan Cruijff aan.
CC0 / Pixabay License
Het CSBN beschrijft jaarlijks wat de sector al weet: de digitale dreigingen lopen uit de pas met onze weerbaarheid. En door sectoren die aan het digitaliseren zijn - al dan niet door gebruik van robotica, Internet of Things, AI en anderssoortige dataverzameling en -uitwisseling - wordt dit verschil alleen maar groter. Daarom werd door elke cybersecurityprofessional 17 oktober 2024 met stift in de agenda gezet. Dat was namelijk de dag dat de NIS2 richtlijn omgezet zou moeten zijn in Nederlandse wetgeving.
Terecht argument
Nadrukkelijk ‘was’. Want afgelopen week maakte het ministerie van Justitie en Veiligheid bekend dat ze de implementatiedeadline niet zullen halen. Niet eerder dan 2025 wordt verwacht dat Nederlandse organisaties zich aan de NIS2 dienen te houden. En daar vind ik best veel van. Het terechte argument van de minister dat uitstel zeker niet betekent dat organisaties niet alvast aan de slag kunnen gaan met het vergroten van hun (eigen) weerbaarheid klopt absoluut. Immers, de tekst van de NIS2 is al eind 2022 gepubliceerd en in het Nederlands vertaald. De Nederlandse wettekst zal hier niet veel van afwijken, zo gaf het ministerie eerder al aan.
Artikel 21 van NIS2 vormt daarbij een handige checklist. Als je kijkt naar de gevraagde maatregelen in dit artikel dan zou je als jezelf serieus nemende cyberprofessional veel moeten herkennen. Het uitvoeren van risico-analyses, het zorgen van bedrijfscontinuïteit door goed back-upbeheer en het maken van crisisplannen. Het staat er allemaal al in.
Passend, herkenbaar
Dit zijn allemaal maatregelen die passen bij een organisatie die de risico’s van een cyberincident serieus neemt en hierop voorbereid is. Daarnaast zijn veel van de in de NIS2-richtlijn genoemde maatregelen herkenbaar uit verschillende frameworks en standaarden. Als je bijvoorbeeld over een ISO 27001-certificering beschikt of je bent als overheidsorganisaties al aan de BIO gebonden dan zou je niet wakker moeten liggen van het uitstel van de Nederlandse wet.
En precies hierin ligt de crux van mijn teleurstelling. Want je leeft als ministerie van Justitie en Veiligheid in een papieren werkelijkheid wanneer je gelooft dat veel organisaties warm lopen voor het nemen van de juiste cybersecuritymaatregelen. De praktijk leert dat cybersecurity door C-level nog te vaak als kostenpost, gedoe, niet nodig of een noodzakelijke compliance exercitie wordt gezien. Voor veel organisaties is cybersecurity nog een ver van mijn bed show en moet de cyberprofessional hemel en aarde bewegen om genoeg mensen en middelen te krijgen. Als er al een cyberprofessional is… De NIS2 helpt om dit te veranderen.
Tijdwinst
Maar laten we op zijn Cruijffs een nadeel in een voordeel omzetten. We hebben nu nog meer tijd om organisaties, of ze nu wel of niet onder de NIS2 gaan vallen, mee te nemen in het belang van cybersecurity. Dan kan ondertussen de NCTV een perfecte wet maken en hebben toezichthouders alle tijd om hun nieuwe taken op een goede manier in te regelen.
Ik zet alvast 1 januari 2025 met stift in mijn agenda!
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee