Naleving Europese NIS2-richtlijn wordt dit jaar verplicht, maar is de directie zich hier wel van bewust?

Volgens de Nederlandse veiligheidsdiensten wordt ons land ernstig bedreigd door cybercriminelen uit landen als China, Rusland en Iran. De Europese richtlijn NIS2, die is ontworpen om hier een barrière tegen op te werpen, sijpelt maar mondjesmaat de Nederlandse bestuurskamers binnen. Ook al is naleving hiervan binnenkort verplicht en dreigen hoge boetes bij schade als gevolg van nalatigheid. Uit recent onderzoek blijkt dat een groot deel van de directies nog niet eens begonnen is met de voorbereidingen. Het lijkt erop dat men afwacht totdat de overheid een waarschuwingsbrief stuurt. Maar die komt er niet. Het is de eigen verantwoordelijkheid van de betreffende ondernemingen. Net zoals deze ervoor moeten zorgen dat het fysieke kantoorpand van slot en grendel is voorzien. Men lijkt het gevaar pas te zien als het al mis is gegaan en men met het schaamrood op de kaken de nieuwslezer hoort vertellen dat dankzij hun nalatigheid de bedrijfscontinuïteit, klantenprivacy of zelfs het land in gevaar is gebracht.
De directie doet er daarom goed aan om cybersecurity hoog op de agenda van de boardroom te zetten. Normaliter ligt de formele verantwoordelijkheid hiervoor bij de C(R)FO en de CISO. Echter, als er iets misgaat kan de impact hiervan zo groot zijn, dat het de gehele organisatie aangaat. Bij een incident moeten alle afdelingen in staat zijn om snel maatregelen te treffen om de bedrijfscontinuïteit te verzekeren. Alle hens aan dek dus.
Wat is NIS2?
Sinds december 2022 is er een strenge Europese richtlijn voor cybersecurity: Network and Information Security 2 (NIS2). Deze richtlijn richt zich op risico´s die netwerken en informatiesystemen bedreigen en kunnen leiden tot een ontwrichting van de economie en samenleving. NIS2 moet eind 2024 zijn opgenomen in de nationale wetgeving. Het is bekend dat vanuit onder andere China en Rusland heimelijk geprobeerd wordt om onze kritische infrastructuur in kaart te brengen. Een korte inventarisatie van de dreigingen leert ons dat Europa, en Nederland als digitaal knooppunt in het bijzonder, uitermate kwetsbaar is. Hierom zijn de cruciale sectoren waarop NIS2 betrekking heeft flink uitgebreid. Het betreft onder meer organisaties die zich bezighouden met energie, transport, banken, infrastructuur, financiële markten, gezondheidszorg, drinkwater, digitale infrastructuren, afvalwater, overheidsdiensten, ruimtevaart en beheer van ICT-diensten.
Toenemende dreigingen vanuit het buitenland
Volgens de Nederlandse veiligheidsdiensten AIVD, MIVD en NCTV neemt de dreiging vanuit landen als Rusland en China razendsnel toe. Nederland is een aantrekkelijk doelwit vanwege ondergrondse energieleidingen, een geavanceerde digitale infrastructuur en hoogwaardige kennis van bedrijven. De dreiging richt zich vooral op bedrijven waar hoogwaardige technologie te vinden is.
De veiligheidsdiensten waarschuwen voor toenemende dreigingen tegen de economische veiligheid van Nederland, in het bijzonder tegen kwetsbare vitale processen. Inmenging van andere landen, vooral Rusland, vormt een bedreiging voor de sociale en politieke stabiliteit. De oorlog in Oekraïne wordt gezien als een kantelpunt in de relatie tussen Rusland en Nederland, waarbij de Russische militaire inlichtingendienst GRU routers in Nederland heeft gehackt.
Ook is er sprake van een massieve dreiging van landen met cyberaanval programma's, zoals China, Rusland, Iran en Noord-Korea. Cyberaanvallen kunnen leiden tot diefstal van waardevolle informatie, verstoring van vitale infrastructuur en economische schade. Het gebruik van zero days en supply-chain-aanvallen blijft een zorg, en de dreiging van cyberaanvallen wordt als hoog ingeschat.
Ontwrichten van de samenleving
Er zijn grofweg drie soorten cybersecurityrisico's: datadiefstal, ransomware-aanvallen en hacks met het oogmerk de samenleving te ontwrichten. NIS2 is voornamelijk in het leven geroepen om risico's uit de laatste categorie te beperken. NIS2 schrijft drie verplichtingen voor:
- Het uitvoeren van een risicobeoordeling en op basis daarvan het nemen van passende beschermingsmaatregelen (zorgplicht).
- Incidenten moeten binnen 24 uur bij de toezichthouder worden gemeld (meldplicht).
- De plicht om zich te laten controleren door de toezichthouder op naleving van voorgaande vereisten (toezicht).
Voor wie?
Bedrijven worden verondersteld zelf te onderzoeken of de richtlijn op hen van toepassing is. Dit op basis van de vraag of de onderneming actief is in de cruciale sectoren waarop NIS2 betrekking heeft en de relatieve grootte van de onderneming. De overheid is niet betrokken bij het aanwijzen van de betreffende ondernemingen. Hier ligt een gevaar op de loer: vaak verwacht de directie dat de overheid een notificatie verstuurd (en bij niet-naleving een eerste en een tweede waarschuwing). Dat is hier dus nadrukkelijk niet het geval, al heeft de overheid wel een zelfevaluatie gefaciliteerd: NIS2 Zelfevaluatie NL.
Forse boetes
Bij nalatigheid kunnen er forse boetes worden uitgedeeld. Als er sprake is van een "essentiële entiteit" geldt een boete tot tien miljoen euro of twee procent van de totale wereldwijde omzet. Indien de onderneming wordt aangemerkt als "belangrijke entiteit" geldt een boete tot zeven miljoen euro of 1,4 procent van de totale wereldwijde omzet. Daarnaast geldt er een persoonlijke, en in uitzonderlijke gevallen zelfs strafrechtelijke, aansprakelijkheid voor directieleden als blijkt dat zij hun verplichtingen op grond van de richtlijn niet zijn nagekomen.
Fysieke deur op slot, maar waarom staat de digitale poort dan open?
In een ideale wereld zou de NIS2-richtlijn niet nodig moeten zijn. Niet alleen omdat er dan geen (cyber)criminaliteit zou bestaan, maar omdat de directie dan de digitale veiligheid serieuzer zou nemen. Waarom zou je grote sommen geld uitgeven om de fysieke panden te bewaken, terwijl iedereen met een beetje verstand van hacken zonder problemen de digitale poort kan binnenwandelen? Cybersecurity zou eigenlijk geen kwestie van regels en wetten moeten zijn, maar eerder een van bewustwording en proactief handelen. Het gaat namelijk om het beschermen van de integriteit van het bedrijf en het vertrouwen van klanten. Het kan jaren duren voordat een onderneming over een serieuze cyberaanval heen komt, als het al niet de doodsteek betekent. Om maar te zwijgen van het horrorscenario waarin de directie haar klanten moet bellen om ze te informeren dat hun gegevens zijn gestolen.
Maatregelen
De volgende maatregelen zouden direct op de boardroomagenda moeten worden geplaatst:
- Bewustwording van bestuur en management van cybersecurity en de impact van NIS2 op hun onderneming;
- Risicoanalyse en het opstellen van beschermingsmaatregelen;
- Het opstellen van een bedrijfscontinuïteitsplan en protocollen voor crisisbeheersing;
- Het identificeren van alternatieve toeleveringsketens en scenarioplanning.
De materie behelst een groot aantal aandachtspunten, die alle door verschillende specialisten moeten worden opgepakt. Het is daarom raadzaam om dit niet zelfstandig aan te pakken. Om de benodigde stappen in de boardroom begrijpelijk te houden en de regie te behouden kan men het beste een managementadviesbureau in de arm nemen, waar men de taal van de board spreekt en kan helpen de risico's te begrijpen en te mitigeren. Dit bureau kan hierin een regierol vervullen en specialisten aansturen die de verschillende elementen van cybersecurity beheersen.
Crisisoefening
Door regelmatig een crisisoefening te houden kan men ervoor zorgen dat iedereen weet hoe te handelen in geval van een calamiteit. Snel handelen is essentieel om erger te voorkomen. Bovendien kunnen zo eventuele lacunes in het draaiboek worden opgespoord.
Al ligt de eindverantwoordelijkheid bij de directie, is het van groot belang dat iedereen binnen de organisatie zich bewust is van de risico´s van cyberaanvallen. Goede naleving van de veiligheidsprotocollen heeft echt impact op de gehele bedrijfsvoering. Je kunt je systemen nog zo waterdicht gemaakt hebben, de cybercriminelen proberen vaak naar binnen te komen door gebruik te maken van menselijke zwakheden en onoplettendheid, 'social engineering' heet dat. Dat kan niet vaak genoeg worden benadrukt.
Het is van groot belang dat iedereen binnen de organisatie digitale veiligheidsmaatregelen niet slechts ziet als een wettelijke verplichting, maar bovenal als een noodzakelijk middel om de continuïteit en reputatie van de onderneming te waarborgen in een steeds digitaler wordende wereld.