De Europese NIS2-richtlijn zet cybersecurity definitief op de strategische agenda. Organisaties in vitale sectoren krijgen te maken met strengere eisen rond risicobeheer, ketenbeveiliging en bestuurdersaansprakelijkheid. ‘Cybersecurity is niet langer iets van de IT-afdeling, maar een integraal onderdeel van goed bestuur,’ zegt Miriam Wijermars, lead auditor informatiebeveiliging bij Kiwa. Volgens haar beseffen veel organisaties nog niet dat NIS2 een wettelijke verplichting is en dat tijdig handelen essentieel is om straks compliant te zijn.
NIS2 (Network and Information Security Directive 2) is de nieuwe Europese richtlijn voor netwerk- en informatiesystemen. Alle EU-lidstaten moeten deze omzetten in nationale wetgeving. In Nederland gebeurt dat in de Cyberbeveiligingswet (Cbw). ‘NIS2 brengt veel meer uniformiteit in regelgeving en legt nadruk op risicobeheersing en bestuurdersverantwoordelijkheid’, legt Wijermars uit. ‘De dreigingen nemen toe, onder meer door geopolitieke spanningen en steeds slimmere hackers, dus deze wetgeving moet de digitale weerbaarheid in heel Europa versterken.’
Wie valt onder NIS2?
De richtlijn geldt voor “essentiële en belangrijke entiteiten”. Dat zijn organisaties die vitale processen ondersteunen, zoals energie- en drinkwaterbedrijven, zorg- en betaalinstellingen, transport- en logistieke partijen, maar ook digitale infrastructuur- en ICT-dienstverleners. ‘De overheid heeft in kaart gebracht welke bedrijven een hoog risicoprofiel hebben,’ vertelt Wijermars. Sommige organisaties hebben inmiddels een “vitaal-verklaring” ontvangen, maar omdat onduidelijk is of elk bedrijf actief wordt benaderd, is het verstandig om zélf na te gaan of je onder de richtlijn valt en op basis daarvan maatregelen treffen.’
Wat moeten organisaties doen?
Bedrijven die onder NIS2 vallen, moeten kunnen aantonen dat ze hun cybersecurity-risico’s beheersen. Dat begint met inzicht. ‘Een selfassessment of GAP-analyse is een logische eerste stap. Daarmee bepaal je hoe volwassen je huidige beveiliging is en waar nog verbeteringen nodig zijn.’ Wie al gecertificeerd is voor ISO 27001 of NEN 7510 heeft een voorsprong, maar is er niet automatisch. ‘NIS2 gaat verder: ook de supply chain moet worden meegenomen, incidenten moeten worden gemeld bij een CSIRT en het management moet aantoonbaar zijn getraind in cybersecurity. Bestuurders zijn zelfs hoofdelijk aansprakelijk als er iets misgaat door nalatigheid.’
De rol van Kiwa en Hudson Cybertec
Als onafhankelijk specialist op het gebied van testen, inspecteren en certificeren ondersteunt Kiwa organisaties bij het inrichten, toetsen en verbeteren van hun cyberveiligheid. ‘We voeren onder meer gap-analyses, assessments en pre-audits uit en certificeren volgens ISO 27001, NEN 7510 en IEC 62443. Dat helpt bedrijven om aantoonbaar aan hun zorgplicht te voldoen.’ Voor advies en implementatie is er Hudson Cybertec, dat als adviesbureau strikt gescheiden opereert binnen de Kiwa-groep. ‘Hudson Cybertec helpt organisaties met risicobeoordelingen, ketenbeveiliging, beleidsontwikkeling en training van bestuurders en is zo een perfect aanvulling op de certificeringsactiviteiten van Kiwa.’
Wat kunnen bedrijven nu al doen?
De belangrijkste quick win is bewustwording. ‘Breng je risico’s in kaart, stel een plan op en betrek je management daarbij, want cybersecurity hoort thuis in de boardroom. NIS2 maakt dat niet alleen wenselijk, maar verplicht. Wie tijdig start met een nulmeting of GAP-analyse, heeft straks een voorsprong. Daarmee ontstaat inzicht in waar de organisatie staat en welke stappen nog nodig zijn om te voldoen aan de richtlijn én de Nederlandse wetgeving die daaruit voortvloeit.’ Bedrijven die de juiste balans weten te vinden tussen beleid, techniek en mens bouwen volgens Wijermars niet alleen aan compliance, maar óók aan vertrouwen bij klanten, partners en toezichthouders. ‘NIS2 is daarmee meer dan een verplichting: het is een kans om cybersecurity structureel te verankeren in de bedrijfsvoering.’
Meer informatie
Kijk op de Kiwa-website voor meer informatie over NIS2 en Kiwa’s dienstverlening rondom dit thema.
