SoftwareOne signaleert vijf misvattingen rond NIS2

Soft­wa­reOne, een leve­ran­cier van software en cloud­op­los­singen, helpt orga­ni­sa­ties met het voldoen aan de nieuwe ‘Network and Infor­ma­tion Security’-richtlijn, ook wel bekend als NIS2. Orga­ni­sa­ties die van essen­tieel of vitaal belang zijn voor de maat­schappij moeten voldoen aan de nieuwe richtlijn, en dat blijkt niet eenvoudig. Bovendien is er nogal wat informatie-‘ruis’ en worden er onwaar­heden gedeeld. Soft­wa­reOne signa­leert vijf veel­voor­ko­mende misver­standen, en beschrijft hoe het werkelijk zit.

1 - NIS2 is een taak voor IT

Dit is onjuist. NIS2 raakt de hele orga­ni­satie. De afdeling IT is mede verant­woor­de­lijk voor het uitvoeren van risi­co­be­heer­sing en de bijbe­ho­rende techniek. Directie en mana­ge­ment moet waken over de conti­nu­ï­teit van de orga­ni­satie en infor­ma­tie­sys­temen. Zij hebben als taak om het beleid op te stellen, goed te keuren, te contro­leren en budget toe te kennen. Ook raakt het bijvoor­beeld de HR-afdeling, waar niet alleen security awareness-training worden geregeld, maar ook het tijdig doorgeven van uitdienst­mel­dingen, zodat systeem­rechten direct inge­trokken worden. 

2 – Met NIS2 weet de overheid alles van mijn organisatie

Nee, dat klopt niet. Vanuit NIS2 heeft de overheid diverse expertise centers aange­wezen, zoals o.a. CERT (Computer Emergency Response Team), voor het delen van kennis en het geven van advies. Ook treden zij op als meldpunt. Pas bij het consta­teren van een NIS2-incident geldt de meld­plicht. Dan moet je orga­ni­satie een zo compleet mogelijk technisch gede­tail­leerd verslag uitbrengen. Het doel is om de impact van het incident, risico’s voor onze maat­schappij en het econo­misch verkeer goed in te schatten. Het gaat dus alleen om tech­ni­sche informatie.

3 – NIS2 implementeren kost veel tijd en geld

Dat kan, maar hoeft niet. Als je orga­ni­satie al werkt volgens een IT gere­la­teerde ISO- of NEN-normering geeft dit je een grote voor­sprong. Dan ligt de nadruk met name op de tech­ni­sche inrich­ting en de NIS2 Meld­plicht. Veel orga­ni­sa­ties hebben al een prima IT-omgeving, maar zullen wel extra budget moeten inzetten om hun veilig­heids­graad te verhogen. Denk aan extra licenties, redun­dante techniek, kosten voor imple­men­tatie maar ook aan awareness trai­ningen en simulatietesten.

Als de orga­ni­satie niet hoeft te voldoen aan een IT gere­la­teerde ISO- of NEN-normering, is het toch belang­rijk om de processen en tech­ni­sche inrich­ting goed te docu­men­teren en regel­matig te evalueren. 

4 – NIS2 leidt tot boetes

Ja, als NIS2 niet eind oktober 2024 volledig is ingericht, is de orga­ni­satie in over­tre­ding. Dit kan leiden tot een geldboete van een paar procent van de jaaromzet tot vele miljoenen. Als advies vanuit het CERT niet wordt opgevolgd, volgen er waar­schu­wingen en worden boetes verhoogd. Naast een geldboete geldt er ook persoon­lijke aanspra­ke­lijk­heid indien de verant­woor­de­lijke func­ti­o­naris bij herhaling geen verbe­te­ring doorvoert. 

5 – NIS2 komt nu niet uit, we wachten op NIS3

Dit is heel onver­standig. Met NIS2 hebben de Europese Lidstaten een duidelijk signaal gegeven dat cyberrisico’s niet te onder­schatten zijn en grotere schades opleveren. Het is de verwach­ting dat binnen enkele jaren een verdere NIS2 verzwa­ring door­ge­voerd gaat worden. Die zal dan mogelijk NIS3 gaat heten. Nederland, als zelf­standig lidstaat binnen de EU, kan op speci­fieke onder­delen meer nadruk of urgentie door­voeren, zoals Nederland dat ook heeft gedaan met de AVG. Om eventuele achter­stand niet verder te laten oplopen is het advies serieus aan de slag te gaan met NIS2.

Dennis van Leeuwen, Solutions speci­a­list Digital Workplace Benelux bij Soft­wa­reOne: “NIS2 heeft als doel de Europese digitale en econo­mi­sche weer­baar­heid te verbe­teren. De richtlijn zorgt voor een flink aantal wijzi­gingen op het gebied van cyber­se­cu­rity. Wij helpen orga­ni­sa­ties bij het voldoen aan de nieuwe richtlijn en merken dat er hier en daar onjuiste denk­beelden bestaan. Het is belang­rijk goede infor­matie te verkrijgen Het gaat niet alleen om over­heids­dien­sten, zorg­in­stel­lingen of water­be­heer­be­drijven, maar bijvoor­beeld ook om ener­gie­aan­bie­ders en bedrijven die actief zijn in de finan­ciële- of trans­port­sector. Als je niet aan NIS2 voldoet, loopt je het risico op grote boetes en ben je bovendien persoon­lijk aanspra­ke­lijk. Het is dus essen­tieel om goed geïn­for­meerd te zijn.”