Kan de implementatie van de beveiligingsrichtlijn NIS2 bij sommige bedrijven meerdere jaren in beslag nemen, andere bedrijven verwachten dat het inregelen van de nieuwe wet- en regelgeving enkele maanden gaat duren. Grote ondernemingen denken dat het voldoen aan de zorgplicht hen gemiddeld 6.708 uur kost.
Dit blijkt uit de nota van toelichting op het Cyberbeveiliging Besluit (Cbb) en de uitwerking van de Cyberbeveiligingswet (Cbw), de Nederlandse vertaling van de EU-richtlijn NIS2.
Tekenend is dat de wet ook bij ambtenaren van het ministerie van Justitie tot hoofdbrekens leidt. Zo had de wet vorig jaar oktober al van kracht moeten zijn, maar dit lukt op zijn vroegst pas in het tweede kwartaal van 2026. Te complex, vinden de betrokken juristen.
De complexiteit werkt ook door naar de bedrijven die straks met deze wet te maken krijgen. Tijdens de consultatie van het wetsvoorstellen klaagden ondernemersorganisaties steen en been over de administratieve lastendruk. De meeste regeldruk vloeit voort uit de zorgplicht, governance-verplichting en registratieplicht.
Gemiddeld verwachten middelgrote bedrijven structureel 1.246 uur per jaar kwijt te zijn aan tijdsbesteding om te voldoen aan de zorgplicht.Bij grote ondernemingen ligt dit aanmerkelijk hoger, namelijk op gemiddeld 3.465 uur per jaar per bedrijf.
Out-of-pocket
Naast tijdbesteding moeten bedrijven ook out-of-pocket-investeringen doen. Grote ondernemingen verwachten 44.400 euro per bedrijf aan investeringen, middelgrote ondernemingen zijn gemiddeld 25 mille kwijt. De structurele out-of-pocket-kosten (bijvoorbeeld voor externe trainers) van middelgrote en grote ondernemingen liggen niet ver uit elkaar: gemiddeld dertig mille respectievelijk 32.800 euro.
Behalve eenmalige kosten voor het voorbereiden en implementeren van maatregelen in het kader van de zorgplicht verwachten bedrijven ook structurele meerkosten te maken. Bedrijven geven aan dat zij op veel thema’s die worden uitgewerkt in het Cbb al staand beleid hebben. De ISO27001- en NEN7510-standaarden vereisen dit immers al.
De structurele meerkosten voor bedrijven volgen dan ook primair uit verplichtingen die meer diepgang of een bredere scope van toepassing vereisen dan de maatregelen die bedrijven op dit moment al nemen.
Veel genoemd zijn de voorschriften met betrekking tot de beveiliging van de toeleveringsketen. Bedrijven die veel op projectbasis werken met ketenpartners verwachten dat het sluiten van overeenkomsten met deze partijen structureel meer tijd zal kosten. Ook voorschriften op het gebied van incidentenbehandeling gaan in de papieren lopen.
Aanpassingen
De internetconsultaties met belanghebbenden hebben ertoe geleid dat het Cyberbeveiligingsbesluit (Cbb, concrete invulling van maatregelen) en de uitwerking van de Cyberbeveiligingswet (Cbw, het juridisch kader) op een aantal punten worden aangepast.
Een aantal reacties heeft geleid tot aanpassing van de algemene maatregel van bestuur (amvb) of een nadere verduidelijking in de bijbehorende nota’s van toelichting.
Dit blijkt uit de nota van toelichting op beide voorstellen. Duidelijker moet naar voren komen dat hierbij sprake is van een risk-based– in plaats van een rule-based-aanpak. De invulling van de te nemen maatregelen zal afhankelijk zijn van de uitkomsten van de risicoanalyse.
In diverse artikelen in het Cbb is bepaald dat essentiële entiteiten een bepaald beleid moeten hebben vastgesteld. Hiermee tonen zij aan te hebben nagedacht over de mogelijke risico’s. Er wordt niet voorgeschreven wat de exacte omvang en inhoud van dit beleid moet zijn.
Ook artikel 9 van het Cyberbeveiligingsbesluit is aangepast, vooral waar het gaat om de verplichting om een bedrijfscontinuïteitsplan op te stellen en te onderhouden. Dit bestek moet een noodvoorzieningenpassage bevatten, waarin staat hoe de organisatie omgaat met uitval van systemen. Ook moet er aandacht zijn voor backupbeheer, zodat gegevens veilig en beschikbaar blijven. En het plan moet afgestemd zijn op de risicoanalyse.
Zo hadden Omni-U Services en MSP-ISAC tijdens de consultatie aangegeven dat niet voor elk incident een bedrijfscontinuïteitsplan nodig is. Daarnaast werd gesteld dat een noodvoorzieningenplan een heel ander plan is. Sunbites Cybersecurity stelde dat er geen apart plan hoeft te zijn voor de Cbw, maar dat dit is te integreren in bestaande plannen. Daarnaast gaf VNO-NCW aan dat ook hier een risicogebaseerde aanpak nodig is. Een aantal andere partijen vroegen aandacht voor de ot-omgeving in verband met backups.
Kritiek
Omni-U Services en Netbeheer Nederland hadden in hun consultatiereacties ook aangemerkt dat processen en procedures geen onderdeel zijn van het beleid, maar aparte documenten die uitvoering geven aan het beleid. Hierop zijn het Cbb en de nota van toelichting op verschillende punten aangepast.
Na kritiek tijdens de consultatie is de bepaling in de Cbb geschrapt dat de trainer onafhankelijk moet zijn, dat wil zeggen een externe partij, wat kostenverhogend werkt. Vanuit het mkb werd aangevoerd dat hier het middel het doel voorbijschiet. De training heeft tot doel dat bestuurders adequate beslissingen kunnen nemen over de beveiliging van de netwerk- en informatiesystemen van hun organisatie, niet dat zij tot in detail kunnen uitleggen hoe een bijvoorbeeld ddos-aanval werkt. Maar de verplichting van een training voor het bestuur is een (dwingend) vereiste uit de NIS2-richtlijn en is dus niet te wijzigen.
Verder is de vereiste geschrapt over het aantal uren dat de training is gevolgd. Critici vonden dat de duur van de training niets zegt over de kwaliteit ervan. De training hoeft geen diepgaande technische kennis te geven. Het gaat om strategisch inzicht, zodat bestuurders weloverwogen besluiten kunnen nemen over cyberbeveiliging binnen hun organisatie.
Amvb
Op 30 juni is het concept van de algemene maatregelen van bestuur (amvb) behorende bij het wetsvoorstel Cyberbeveiligingswet gestuurd naar de Tweede Kamer gestuurd. De maatregelen die organisaties vanuit de zorgplicht moeten nemen, kosten tijd en aandacht. Daarom adviseert de Rijksoverheid hen om niet af te wachten tot de inwerkingtreding van de wetsvoorstellen en de amvb, maar om alvast voorbereidingen te treffen.
Ondernemersorganisaties klagen net als de boeren over een administratieve lastendruk welke om de juridische papieren tijgers gaat als we naar de geest van de wet kijken. Weer- en wendbaarheid zal tijd en geld kosten maar dat geldt ook voor niks doen. Gesprekken over de kosten van stilstand gaan om bedragen van 7 cijfers of meer als blijkt dat er geen sprake is van overmacht maar van nalatigheid. Want de verplichting om een bedrijfscontinuïteitsplan op te stellen en te onderhouden gaat uiteindelijk om het regelmatig testen van een sloepenrol waarin de back-up maar een klein onderdeel is.
Een risicogebaseerde aanpak of een aanpak op basis van een risicobewustzijn gaat om de training waarin je inderdaad niet de technische details van een DDoS of ransomware aanval hoeft te weten maar wel de impact hiervan. Ervaring leert dat de meeste bestuurders dit inzicht missen omdat ze geen weet hebben hoe afhankelijk de bedrijfsvoering is van de IT. Plan B van de 5-cijferig investering om een 7-cijferige schade te voorkomen gaat vooral om de gewogen risico’s. De juristen zien achter elke boom in het bos een beer maar statistisch is dat onmogelijk door een natuurwet.
Bedrijven die vaak op projectbasis werken met ketenpartners met de contractuele werkelijkheid van juristen gaat om de papieren tijgers waaraan NIS2 een einde wil maken. Het contractueel doorschuiven van de verantwoordelijkheid is eindig door ketenverantwoordelijkheid. Niet-delegeerbare kernverantwoordelijkheden zal inderdaad pijn gaan doen bij de organisaties die een juridische fictie hebben in de feitelijke zorgplicht en bestuurlijke verantwoordelijkheid. Laat de bijl dan maar vallen en het bloed rijkelijk stromen als het om een hoofdelijke aansprakelijkheid gaat in de keten.
NIS2 is een bestuurlijke cultuurschok voor de overheid die verantwoordelijkheid ontwijkt via juridische constructies want het afzwakken van normatieve verplichtingen met excuses over uitvoerbaarheid gaat om een bestuurskundig probleem als de normsteller zelf niet kan voldoen aan gestelde normen. Ik heb de bijl al geslepen want zijn verantwoordelijke wethouders bekend met de risico’s in de IT-keten? Hetzelfde geldt voor bestuurders die met verouderde systemen werken zonder herstelplan. Of RvB’s van semi-overheidsorganisaties die clouduitbestedingen ondertekenen zonder impactanalyse.
Wat betreft een verkeerde zuinigheid ken ik vele voorbeelden van een 5-cijferig investering om een 7-cijferige schade te voorkomen. Want de prijs van verantwoordelijkheid gaat om de aansprakelijkheid door een niet-delegeerbare governance.