Britse MSP’s mede verantwoordelijk voor cybersecurity van klanten

Eind 2021 schreef ITchannelPRO over de Britse plannen eisen te stellen aan het werk van MSP’s. Dat viel op te maken uit een consultatie. Inmiddels is duidelijk dat Londen in de wet het optreden tegen MSP’s concreet benoemt.

Wetgeving op komst

Dat cybersecurity meer aandacht nodig heeft is bekend. Kleine en grote ondernemingen zijn allemaal een gewild doelwit. Of ze daarbij rechtstreeks worden getroffen met ransomware, of dat nodig zijn als steppingstone maakt niet uit. Het feit is dat ze de digitale beveiliging niet goed voor elkaar hebben. Hoge verzekeringspremies en boze klanten maken nog te weinig indruk. Daarom is er wetgeving in de maak om duidelijk te maken dat cybersecurity bovenaan elke agenda moet staan.

NIS2

Voor die wetgeving kan de regering in Londen kijken naar een EU voorstel. De NIS2 ligt in Brussel op tafel. De verwachting is dat die later die jaar richting de lidstaten gaat. Daarin staat aangegeven waaraan bedrijven zich hebben te houden. De concept teksten zijn al bekend. Ook bekend is dat de Britten die EU teksten grotendeels hebben overgenomen. Op een aantal punten is men een stap verder gegaan of is er sprake praktische aanpassing. De EU heeft er geen moeite mee dat de teksten elders als uitgangspunt dienen. Op die manier is eveneens de AVG/GDPR tot een soort van wereldstandaard geworden. Ander voordeel is dat Brussel en de lidstaten nu kunnen leren van de aanpassingen en aanscherpingen die Londen in de eigen wetgeving verwerkt. En daar komt de rol van de MSP’s heel duidelijk naar voren. De Britse regering heeft vastgesteld dat het voor ondernemers te makkelijk is met MSP’s in zee te gaan die slecht werk afleveren. Die essentiële groep dienstverleners en leveranciers moet geprikkeld worden beter te gaan werken. Met alleen hoge eisen stellen aan de cybersecurity skills van MSP’s is men er niet. Londen wil echt een stok achter de deur hebben om kwaliteit te kunnen afdwingen. Dat leidt dan tot het wetsvoorstel om de MSP (mede) verantwoordelijk te kunnen houden voor de schade van falende cybersecurity bij zijn klant en verderop in de keten. De toezichthouder kan forse boetes gaan opleggen. De impact van die bepaling is groot. Niet alleen moet de MSP kunnen aantonen zijn werk goed gedaan te hebben. Hij zal richting zijn eigen verzekering meer uit te leggen hebben en vaker aan audits onderworpen worden. Meer tijd en kosten dus. Maar schijnbaar is dat op de Britse markt nodig. Alleen op die markt of krijgen we Nederland met hetzelfde te maken?