Rijksinspectie Digitale Infrastructuur over vertraging NIS2: ‘Meer tijd om puntjes op de i te zetten’

Insight: NIS2

Rijksinspectie Digitale Infrastructuur over vertraging NIS2: ‘Meer tijd om puntjes op de i te zetten’

Nederland gaat de deadline van 17 oktober 2024 voor de omzetting van de NIS2-richtlijn in een nationale wetgeving niet halen. Dat zorgt voor onduidelijkheid en ongerustheid bij bedrijven. De Rijksinspectie Digitale Infrastructuur probeert die zo goed als mogelijk weg te nemen met tools die helpen in de voorbereiding. Volgens de organisatie biedt de gemiste deadline tevens een kans voor een grondigere voorbereiding. 

Angeline van Dijk, Inspecteur-Generaal bij de Rijksinspectie Digitale Infrastructuur (RDI), ziet het missen van de NIS2-deadline niet per definitie als iets negatiefs. Volgens haar biedt dit meer tijd om de details goed te krijgen. “Het geeft ruimte om het toezichtkader scherper te krijgen, dus we krijgen eigenlijk meer tijd om de puntjes op de i te zetten.” Bedrijven krijgen deze extra ademruimte eveneens. Bij een Europese richtlijn is controle op naleving namelijk pas mogelijk vanaf het moment dat er een nationaal wetgevend kader is. Echter is het beter al aan de minimale vereisten te voldoen vanaf 17 oktober 2024. Zeker voor bedrijven die in verschillende Europese landen actief zijn, waar de wetgeving misschien wel van kracht is vanaf de deadline.

Bereidheid om digitaal veilig te zijn

Volgens haar zou de impact van de vertraging verder wel meevallen. Ze verwacht niet dat Nederland op vlak van cybersecurity een grote achterstand creëert ten opzichte van de rest van Europa. Er is veel vertrouwen in de mentaliteit van Nederlandse bedrijven op het vlak van cybersecurity. “Er is een positieve mentaliteit om voorbereid te willen zijn op een aanval en cybersecurity proactief op de agenda te zetten.”

De mentaliteit wordt gedreven vanuit de realiteit, want Van Dijk ziet dat het digitale en de bedrijfsmissie tegenwoordig verbonden zijn. Het ene zou niet meer zonder het andere kunnen. “De digitalisering van bedrijfsprocessen heeft IT tot een integraal onderdeel van het primaire proces gemaakt. Dit betekent dat cybersecurity niet langer een apart vraagstuk is, maar een integraal onderdeel van de bedrijfsvoering.” Daarom stelt ze dat het verouderd is om te denken dat de digitale weerbaarheid van een land alleen te realiseren valt met een stok achter de deur in de vorm van een wetgeving.

Dat er inderdaad een bredere interesse is van bedrijven om de digitale veiligheid te verbeteren, illustreert het succes van de NIS2-Quickscan. Volgens Van Dijk waren er tijdens de eerste week na lancering al 8.000 bezoekers voor de tool die meedenkt welke aanpassingen nog nodig zijn om aan de aankomende wet te voldoen. Het bezoekersaantal zal dus niet alleen van de bedrijven komen die moeten voldoen, maar ook van bedrijven die vrijwillig willen voldoen. Het succes was eigenlijk bij lancering al gegarandeerd. Met de NIS2-quickscan werd ingespeeld op de wens vanuit het bedrijfsleven om handelingsperspectief te krijgen.

Lees ook: NIS2-Quickscan adviseert organisaties bij voorbereiding op cyberwet

Verantwoordelijkheid van bestuurders

Een ander belangrijk punt uit de NIS2-richtlijn die de ongerustheid kan verklaren, is de grotere verantwoordelijkheid die de bestuurder draagt. Zij dragen vanaf de implementatie de verantwoordelijkheid voor de cybersecurity van hun organisaties. Zij worden daardoor ook aansprakelijk als zij nalaten de juiste waarborgen te treffen voor consumentenbescherming. “Als de bestuurder aantoonbaar geen verantwoordelijkheid neemt voor de digitale weerbaarheid van zijn organisatie dan is hij daarvoor direct aansprakelijk dan staat hij of zij terecht en is het geen geldig excuus meer om als bestuurder te zeggen dat je niet op de hoogte was van cybersecurity”, waarschuwt Van Dijk.

Noodzaak van voorbereiding bij bedrijven

Een wetgeving bepaalt duidelijk op welke vlakken bedrijven moeten kijken naar hun cybersecurity. Deze zaken zal een bedrijf dus op orde moeten hebben. Wegens de mogelijke boete heerst er veel onrust over de naleving van de nieuwe wetgeving en voornamelijk over wie de wetgeving moet volgen, weet Van Dijk.

NIS2 is de opvolger van de NIS die in Nederland vertaald werd in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). In de nieuwe richtlijn wordt op basis van sector bepaald of een bedrijf al dan niet dient te voldoen. De EU koos voor drempelwaarde die in alle EU-lidstaten hetzelfde zal zijn, omdat er verschillen waren per lidstaat over wie wel en niet onder de NIS viel. De nieuwe richtlijn geeft als resultaat dat een veel groter aantal bedrijven dient te voldoen aan de zorgplicht. De RDI is in totaal voor tien sectoren de toezichthouder op de naleving. Onder de eerdere wet beperkte dit zich tot drie sectoren. “Het aantal bedrijven onder ons toezicht zal vertienvoudigen”, stelt Van Dijk.

Uitdagingen voor Nederlandse bedrijven

De NIS2-Zelfevaluatie gemaakt door RDI maakt het bedrijven eenvoudig om te oordelen of ze moeten voldoen. De toezichthouder zet ondernemers door middel van twee tools dus goed op weg. Toch blijven er uitdagingen die bedrijfsspecifiek zijn en dus alleen door een goede interne voorbereiding kunnen worden aangepakt. “Er moet een complexe inschatting worden gemaakt hoe aan de wet kan worden voldaan zonder het zo zwaar op te tuigen dat er iets volledig nieuw wordt ingericht”, zegt Van Dijk. Bij de inrichting komt er nog een uitdaging bij om in te schatten of deze het volledige ecosysteem dekt. Een bedrijf moet via een risicomanagement achterhalen wat de impact is van een incident bij een toeleverancier.

De Rijksinspectie zet zich actief in om bedrijven te ondersteunen deze uitdagingen aan te pakken. Bedrijven treuzelen beter niet bij het treffen van de voorbereidingen voor de richtlijn. De uitdagingen die daarbij komen kijken, zullen nog het nodige denkwerk vereisen.

TIP: Nederland gaat NIS2-deadline van 17 oktober niet halen