Haast geboden met uitwerking Europese NIS2-richtlijn

Jan Swillens, vertrekkend baas van de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). waarschuwde onlangs over cyberdreigingen vanuit China op computernetwerken van het ministerie van Defensie. De algemene inlichtingendienst AIVD kondigde aan het onderzoek te intensiveren naar cyberaanvallen door andere landen met Nederland als doelwit. En ondertussen lukt het Nederland niet om de NIS2-wetgeving (Network and Information Security) tijdig in te voeren. Daarmee wordt de deur verder opengezet voor kwaadwillenden die in potentie serieuze maatschappelijke en economische schade kunnen uitrichten, betoogt Bram van Tiel, cyberexpert bij PwC. Er is haast geboden, ook in de bestuurskamer.

Op 31 januari van dit jaar schreef minister Yeşilgöz van Justitie en Veiligheid in een brief aan de Tweede Kamer dat het Nederland niet gaat lukken om NIS2, een belangrijke Europese richtlijn op het gebied van cyberveiligheid, op tijd te vertalen naar Nederlandse wetgeving. Dat het niet lukt deze wet tijdig in te voeren, is een zorgelijke ontwikkeling. Het is juist van groot belang dat Nederland vaart zet achter de implementatie. Anders lopen we het risico dat organisaties die aan NIS2 moeten voldoen, dit uitstel gebruiken als reden om te wachten met de implementatie van broodnodige cybersecurity verbeteringen. 

Wel zorgen, maar nog te weinig actie in de bestuurskamer

Je zou verwachten dat het met de bewustwording rondom cybersecurity inmiddels wel goed is gesteld. Al jarenlang worden we ruimschoots voorzien in berichtgeving over ransomware en cyberaanvallen, terwijl dat nog niet de helft is van wat er zich afspeelt. Hackers zitten niet stil en ontwikkelen dagelijks nieuwe methoden om beveiligingsmaatregelen te slim af te zijn. Bedrijven moeten dus continu bouwen aan hun virtuele dijkverhoging en dit kunnen aantonen. Ondanks dat cyberrisico’s al jaren in de top drie met zorgen van CEO’s wereldwijd staan, zoals blijkt uit de jaarlijkse PwC’s CEO Survey, blijft wetgeving nodig om veel organisaties te doen bewegen de benodigde beveiligingsmaatregelen te treffen.  

Met NIS2 worden de in 2016 ingevoerde EU-regels voor cyberbeveiliging geactualiseerd en gemoderniseerd om de toenemende mate van digitalisering en het continu evoluerende cyberdreigingslandschap bij te houden. Hiermee beoogt de EU het gemeenschappelijke niveau van cybersecurity in de unie te verhogen. NIS2 raakt meer organisaties en stelt hogere eisen op het gebied van cyberveiligheid aan essentiële en belangrijke bedrijven en sectoren dan NIS, de vorige richtlijn. Voorzieningen als onze havenfaciliteiten, drinkwaterleveranciers, ziekenhuizen en overheidsinstanties, zoals de Belastingdienst, beschouwen we dagelijks als vanzelfsprekend. We staan er zelden bij stil wat er gebeurt als ons elektriciteitsnet gehackt wordt en plat komt te liggen, als de levering van belangrijke medicijnen uitblijft of afvalcentrales stil komen te staan.

Bestuurders persoonlijk aansprakelijk bij nalatigheid op gebied cybersecurity 

Naast het bevorderen van de veiligheid van vitale sectoren voor onze economie en samenleving, wil de EU met de richtlijn samenwerking tussen lidstaten bevorderen en eisen dat zij naar behoren zijn uitgerust. Als organisaties hier niet aan voldoen of dit niet kunnen aantonen, heeft de overheid met NIS2 veel meer mogelijkheden tot sanctioneren, ook op persoonlijk niveau. Er kunnen boetes worden gegeven op basis van de wereldwijde omzet en bestuurders, toezichthouders of commissarissen kunnen persoonlijk aansprakelijk worden gesteld als er sprake is van grove nalatigheid op het gebied van cybersecurity. NIS2 dwingt de virtuele dijkverhoging bij bedrijven af.

Er is actie nodig. In het geval van een cyberincident moet je als bestuurder kunnen aantonen dat je voldoende middelen beschikbaar hebt gesteld om cybersecurity op het NIS2-niveau te brengen. Wacht hier dus niet mee. 

Wetgeving nodig met aandacht voor implementatieverschillen per lidstaat

Digitalisering en cyberveiligheid zijn, gezien het grensoverschrijdende karakter, bij uitstek een taak voor de EU. Tegelijkertijd is de Nederlandse overheid nu echt aan zet om de wet op te stellen en hierbij rekening te houden met het internationale landschap waarin veel organisaties opereren. België en Ierland hebben hun implementatiewet inmiddels gepubliceerd en wat opvalt is dat beide landen hierbij kiezen voor verschillende beveiligingsstandaarden. Dit maakt het onnodig complex voor organisaties die actief zijn in verschillende lidstaten om te kunnen voldoen aan de wetgeving. Door additionele complexiteit lopen we nog meer vertraging op met verdere implicaties voor onze cybersecurity. Nederland staat een gecompliceerde opdracht te wachten, des te meer reden om er vaart achter te zetten.

NIS2 is tevens bedoeld om het beveiligingsniveau onder Europese lidstaten te harmoniseren. De Nederlandse overheid moet zich daarom van de implicaties bewust zijn als we in de Nederlandse wet specifieke beveiligingsstandaarden hanteren. En organisaties die over de landsgrenzen heen opereren, moeten dus scherp zijn op deze kleine lettertjes. Om onze nationale cyberveiligheid te waarborgen en daarmee onze maatschappelijke vanzelfsprekendheden te beschermen, moeten we onze zorgen omzetten in actie.