Het omzetten van de EU-richtlijn NIS2 in nationale wetgeving loopt vrijwel nergens in Europa van een leien dakje. Terwijl Nederland met de vertaling van deze richtlijn in de Cyberbeveiligingswet (Cbw) zeker 1,5 jaar achterloopt, heeft het nieuwe Duitse wetsontwerp bij onze oosterburen een golf van kritiek uitgelokt.
Voice, de grootste Duitse belangenorganisatie van it-gebruikers, zucht onder de bureaucratische lasten die de implementatie van NIS2 met zich mee brengt. Volgens deze Duitse federatie worden de kosten onderschat, zijn de controlemechanismen te zwak en blijft onduidelijk wie waarvoor verantwoordelijk is. Dit geldt met name voor de controle, de aansprakelijkheid en implementatie.
Volgens de belangenorganisatie worden de in het wetsvoorstel genoemde extra kosten van gemiddeld 76.000 euro per bedrijf per jaar aanzienlijk onderschat. Dat geraamde bedrag ligt overigens nog een stuk boven de schattingen in Nederland.
Dezelfde aansprakelijkheid
Voice pleit voor praktische vereisten en een duidelijke verantwoordelijkheidsverdeling tussen overheid en bedrijfsleven. Voor beiden zouden dezelfde aansprakelijkheidsregels moeten komen. Private managers zijn nu persoonlijk aansprakelijk voor tekortkomingen in de cybersecurity, zoals een gebrek aan training. De directeuren van federale agentschappen worden echter niet beschouwd als ‘management’ volgens het NIS2-concept. Ze zijn daarom vrijgesteld van deze verplichting.
Voor het mkb moeten er Implementeerbare eisen en ‘best practices’ komen. De huidige eis van proportionele maatregelen is te vaag. Onduidelijk blijft met welke specifieke compliancekosten mkb’ers daadwerkelijk te maken krijgen. Om onzekerheid te voorkomen, meent Voice dat snelle verduidelijking door middel van best practices geboden is.
Ook dringt de organisatie aan op realistische overgangsperiodes, bijvoorbeeld voor productcertificeringen en technische wijzigingen. Dan kunnen bedrijven de NIS2-vereisten beter implementeren.
Geen consistente monitoring
Regelmatige audits zijn nodig voor duurzame implementatie. De ervaring leert dat wettelijke vereisten vaak niet blijvend worden geïmplementeerd zonder consistente monitoring. Gepleit wordt voor duidelijke regels voor het beheer van kwetsbaarheden. Er zouden transparante vereisten voor het auditen en monitoren van it-beveiligingsrisico’s moeten komen, aldus Voice.
Verder wil de organisatie dat er snel een centraal online-platform komt voor de verwerking van rapportage- en verificatieverplichtingen. Verplichtingen voor gecertificeerde producten mogen niet leiden tot lock-in-effecten. Voice pleit voor concurrentiebeschermende maatregelen tegen monopolisering.
De stemmingmakerij van Computable doet een politieke agenda vermoeden want uit de cijfers blijkt dat je beter 5 cijfers kunt investeren om een schade van 7 cijfers te voorkomen. Dino twijfelt over het wegen van de beveiligingsrisico’s maar kennishouders kennen de formule. Mate van impact vermenigvuldigd met kans van optreden gaat om rekentoets voor proportionele maatregelen. Naast kosten van discontinuïteit komen daar nog de schadeclaims bij want het gaat niet om de lock-in effecten maar om de keteneffecten.
De kleur van het fietsenschuurtje in de discussie over private rechtspersonen en federale agentschappen gaat om nationale invulling van de Europese compliance ratio’s. De concurrentiebeschermende maatregelen tegen monopolisering zijn hierin een leuke als we kijken naar de slager die zijn eigen vlees keurt want hierin gaat politieke agenda om de toezichthouders. Zie eerdere Europese richtlijnen over de privacy en het idee van compliance via het circus van certificering.
meeste bedrijven zijn niet zo goed in kennis houden.
wordt dan lastig om prioriteit als product van impact en urgency te bepalen als je beide niet kent.
en wat rekenen betreft wacht meneer van dalen al heel lang op antwoord.
gewoon hopen dus dat het overwaait.
twijfelaars kunnen altijd nog kop in zand steken.
Natuurlijk is het mogelijk om je automatisering zo in te richten dat je beetje overzicht hebt
wat waar draait en waarom eigenlijk. Soort van business eisen en dan hoe techniek dat gaat invullen.
Maar goed, als ze dat belangrijk vonden, hadden ze vast wel eens een keer gedaan.
Voorlopig dus een wirwar, of breiwerk zo u wilt, aan wildgroei.
Noem wirwar heterogeen en wildgroei dynaisch flexibel
en zo kun je het resultaat als heterogeen flexibel dynamisch landschap betitelen.
je kunt ze ook geen ongelijk geven, die nis haters.
want ik lees dat er “transparante vereisten voor het auditen en monitoren van it-beveiligingsrisico’s moeten komen”
Blijkbaar kun je dat naar believen inrichten.
Budget is op dus is het klaar of zoiets.
Probeer het eens met “productcertificeringen en technische wijzigingen”
Misschien dat dat helpt 😛 is het advies
Overheid hoeft geen voorbeeld te geven want
“De directeuren van federale agentschappen worden echter niet beschouwd als ‘management’ volgens het NIS2-concept”
dus daarmee kunnen ze niet helpen.
Leuker kunnen ze niet maken, makkelijker ook niet.
Laast kreeg ik de vraag waarom ik zo te keer ging tegen populisme en stemmingsmakerij terwijl ik er zelf zo gebruik van maak.
Ik zeg maar zo : next question !