Vanaf dit jaar is de EU NIS2-richtlijn van kracht. Dat betekent in het kort dat alle organisaties die als kritieke infrastructuur zijn bestempeld, aan bepaalde cybersecurity-eisen moeten voldoen. Deze organisaties zullen hier ook op worden getoetst en de bestuurders worden hoofdelijk aansprakelijk voor cyberincidenten. Het doel van deze wetgeving is om de cyberbeveiliging in de EU te versterken.
Ten eerste kun je de NIS2 zien als een last. Het is nieuwe wetgeving, waar nieuwe verplichtingen aan vast zitten. Dit leidt dus tot ‘extra werk’ en waarschijnlijk ‘extra kosten’. Aangezien veel organisaties vinden dat ze al voldoende verplichtingen hebben, zitten ze niet te wachten op extra werk en al helemaal niet op extra kosten.
Ten tweede kun je de NIS2 ook positief bekijken, hetgeen mijn voorkeur heeft. De NIS2 is ontworpen om EU-organisaties te helpen zich te beschermen tegen cyberdreigingen. Het verbeteren van de cyberweerbaarheid is geen overbodige luxe, maar bittere noodzaak, gezien het aantal succesvolle cyberaanvallen dat helaas nog steeds dagelijks plaatsvindt.
De invoering van de NIS2 dwingt organisaties om hun eigen cyberweerbaarheid onder de loep te nemen, en betekent dat het cybersecurity-bewustzijn binnen organisaties aanzienlijk wordt verbeterd. Daarnaast staan in artikel 21 van de NIS2 enkele minimale maatregelen die organisaties moeten opvolgen, die direct de cyberweerbaarheid van de organisatie verbeteren. Deze maatregelen zijn geen ‘rocket science’, maar goed uitvoerbaar voor de meeste organisaties. De NIS2 moet dan ook niet worden gezien als ‘last’, maar meer als ‘nuttige handleiding’ voor het verbeteren van de cybersecurity.
Het is een feit dat het voldoen aan de NIS2 tijd en geld kost, maar het niet voldoen aan de NIS2 kan nog veel meer geld kosten, als blijkt dat de cyberweerbaarheid van de organisatie onvoldoende is en deze vervolgens wordt gehackt. Vandaar het advies om de NIS2 als een ‘zegen’ te zien en te omarmen. Niet alleen om compliant te zijn, maar vooral om cyberweerbaar te worden en te blijven!
Fred Streefland is werkzaam als CEO van Secior. Hiervoor werkte hij onder meer bij Defensie, IBM, Accenture en vervulde verschillende CISO-functies.
(dit artikel verscheen eerder in ITchannelPRO magazine nr 03)