NIS2 reality check: onder controle of nog veel ‘to do?’

NIS2 is de vernieuwde Europese richtlijn voor Network en Information Security. Het doel? Dat is de digitale weerbaarheid van zogenoemde essentiële organisaties vergroten. Dat zijn organisaties waarvan de diensten zó kritisch zijn voor onze samenleving en economie, dat een cyberaanval directe maatschappelijke ontwrichting kan veroorzaken.

Banken, verzekeraars en pensioenfondsen vallen daaronder, evenals bijvoorbeeld energiebedrijven en waterschappen. Als zij worden geraakt, raakt dat ons allemaal. Daarom gelden er voor deze sectoren sinds 2024 strengere eisen op het gebied van risicobeheer, incidentmelding, leveranciersbeveiliging en bestuurlijke verantwoordelijkheid.

Voordat ik daarop inga wil ik een stelling deponeren: ‘Organisaties die niet aan NIS2 hoeven te voldoen zouden het wel moeten willen.’ Eens? Ik vind namelijk dat je nooit concessies moet doen als er extra veiligheidsmaatregelen genomen kunnen worden. Daarom heb ik bij vijf NIS2-thema’s enkele vragen benoemd die wat mij betreft ook voor andere organisaties gelden.

Centralisatie van informatie, aanpassingsvermogen, duidelijke procedures en juiste antwoorden tijdens audits kunnen geven zijn hierbij van belang: 

• Is er een actueel en centraal toegankelijk overzicht van uitgevoerde risicoanalyses? 
• Worden deze analyses periodiek herzien op basis van veranderende dreigingen of bedrijfsactiviteiten? 
• Zijn je incidentresponsprocedures vastgelegd, getest én bekend bij de relevante afdelingen? 
• Kun je bij een audit of melding aantonen wat je hebt gedaan en wanneer? 

Je digitale weerbaarheid kan aangetast worden door derden die wellicht onvoldoende veilig voor jou aan het werk zijn. Kijk als het om cybersecurity gaat daarom naar de hele keten: 

• Heb je in kaart welke derde partijen toegang hebben tot je (kritieke) systemen of gegevens? 
• Worden leveranciers structureel beoordeeld op hun beveiligingsniveau? 
• Zijn afspraken over cybersecurity vastgelegd in contracten of SLA’s? 
• Wat gebeurt er als een leverancier niet meer aan jouw normen voldoet? 

Alleen focus hebben op technische cybersecuritymaatregelen is onvoldoende, hoewel dat soms gedacht wordt. 

• Zijn medewerkers getraind in hun rol bij digitale veiligheid, of is het beperkt tot de IT-afdeling? 
• Is het securitybeleid geschreven in begrijpelijke taal en vertaald naar praktische gedragsregels? 
• Hoe vaak worden medewerkers nog bewust gemaakt van actuele risico’s zoals phishing of social engineering? 

Vooraf nadenken over wat je doet bij ‘wat als’, is waar het hier om draait. ‘Voorbereid zijn als snelheid geboden is’, noem ik het vaak: 

• Heb je een vastgesteld en getest draaiboek voor het geval van een cyberaanval of datalek? 
• Is duidelijk wie verantwoordelijk is voor welke actie bij een incident? 
• Worden incidenten systematisch geëvalueerd en benut als leerpunten? 

Cybersecurity is niet alleen een technisch of operationeel vraagstuk. Het vraagt ook om sturing, eigenaarschap en verankering in de top van de organisatie: 

• Is er op directie- of bestuursniveau expliciete verantwoordelijkheid* belegd voor cybersecurity en NIS2-naleving? 
• Zijn rollen, verantwoordelijkheden en escalatielijnen formeel vastgelegd en ook daadwerkelijk ingevuld? 
• Wordt er periodiek gerapporteerd aan het bestuur over de status van beveiligingsmaatregelen en risico’s? 
• Staan cybersecurity en compliance structureel op de agenda van MT- of RvB-overleggen? 

Soms is het simpelweg het ontbreken van overzicht dat organisaties parten speelt. Als bijvoorbeeld niet duidelijk is wie waarvoor verantwoordelijk is, of als procedures slechts op papier bestaan, ontstaat er ruimte voor fouten en vertraging, met alle gevolgen van dien. Bestuurders kunnen onder NIS2 persoonlijk aansprakelijk worden gesteld bij aantoonbare nalatigheid. Daarnaast kunnen toezichthouders stevige boetes of sancties opleggen als blijkt dat de naleving niet op orde is. En dan is er nog de reputatieschade: in de financiële sector waar vertrouwen de kern vormt, kan één incident het vertrouwen van klanten en partners ernstig ondermijnen. Tot slot vormt de keten zelf een risico. Ook als je intern alles goed hebt geregeld, kan een kwetsbare leverancier of partner je alsnog blootstellen aan (cyber)dreigingen.

Onder controle of nog veel ‘to do?’ dat is de kernvraag. Bij OneXillium helpen we organisaties uit de financiële sector hier dagelijks bij. Dat doen we niet alleen met technische in- en outputoplossingen, maar juist ook met strategisch advies, inzicht geven in compliance en hands-on begeleiding. Dankzij de recente integratie van BMConsultants en RedTeam over onze hele dienstverlening heen, kunnen we dit nog completer doen, van technische audits tot governancevraagstukken. Bovendien mét kennis die elke branche uniek maakt.

¹ Een expliciete verantwoordelijkheid voor cybersecurity en NIS2 kan door OneXillium geboden worden door de inzet van een externe CISO (Chief Information Security Officer), die bovendien vanuit andere branches en praktijkervaringen zijn of haar kennis kan inzetten.