Open LinkedIn en je ziet meteen dat de NIS2 ‘hot’ is. Iedere cybersecurity-organisatie grijpt deze Europese richtlijn aan om hun product of dienst aan te bevelen (inclusief onze eigen organisatie). Dus aan aandacht voor NIS2 geen gebrek, zou je zeggen.
Helaas wordt dit niet altijd zo gezien door organisaties. Zij beoordelen de NIS2 vaak als een ‘compliancedoel’, een ‘hinderlijke regelgeving met afvinklijstjes’ en als ze niet voldoen, dan kunnen ze serieuze boetes opgelegd krijgen vanuit de nationale toezichthouder. Dat laatste kan kloppen, maar de NIS2 is geen compliancedoel, maar een middel om de cyberweerbaarheid inzichtelijk te maken en te verbeteren.
De NIS2-richtlijn, zoals deze nu is weergegeven, kan juist worden gebruikt als kapstok om een programma voor cyberweerbaarheid aan op te hangen. Op dit moment is de officiële NIS2-wetgeving nog in progress, maar de minimale maatregelen zoals beschreven in artikel 21 van de NIS2-richtlijn zijn geen rocket science. Ze zijn vooral gebaseerd op gezond boerenverstand vanuit de cybersecurity. Er worden minimale eisen gesteld aan bijvoorbeeld een risicoanalyse, incident response procedures, basic cyber hygiene, cybersecuritytraining en assets. Niets bijzonders dus, zou je zeggen.
Helaas wordt dit niet zo gezien en krijgt de NIS2 bij voorbaat al een slechte naam. En dat terwijl de NIS2 juist moet worden gezien als een kans. De kans om de cyberweerbaarheid van de organisatie te verbeteren en op het vereiste niveau te brengen. Het gaat niet om een ‘compliance-afvinklijstje’, maar om de realistische cyberweerbaarheid van de organisatie. Dat is waar de NIS2 voor staat!
Dit artikel verscheen eerder in ITChannelPRO magazine 2023-06