NIS2 en de uitdagingen rondom eigenaarschap

Auteur kennisbijdrage: Tobias van Oerle

Regelmatig krijg ik opmerkingen van collega’s en klanten op een artikel over eigenaarschap dat ik twee jaar geleden schreef. Dat artikel helpt hen in het voeren van het gesprek over het complexe thema ‘eigenaarschap’. Jammer genoeg blijven de situaties die ik beschrijf, los van elkaar of in combinatie, herkenbaar.

Ik ben hoopvol dat er, op het gebied van informatiebeveiliging, bij veel organisaties een verandering gaande is. Deze verandering wordt gedreven door de komst van de NIS2. Hoe komt dit? In dit artikel neem ik je mee in wat de NIS2 in mijn ogen brengt op het gebied van eigenaarschap en hoe ik dat in de praktijk nu al zie gebeuren.

Welke problemen zijn er?

In mijn vorige artikel deelde ik het probleem van gebrek aan eigenaarschap op in drie delen: (1) kunnen, (2) mogen en (3) willen. Heel beknopt:

1. Kunnen: Eigenaren hebben onvoldoende kennis en vaardigheden om invulling te geven aan hun rol als eigenaar. Denk bijvoorbeeld aan de auto eigenaar die wel in staat is om te rijden, maar niet in staat is om (geavanceerde) herstelwerkzaamheden uit te voeren aan zijn/haar voertuig.
2. Mogen: De afspraken binnen organisaties (hard (beleid) en zacht (cultuur)) en/of wet- en regelgeving belemmeren mensen om eigenaarschap te nemen waar dit wel van hen verwacht wordt. Net zoals een huiseigenaar die verantwoordelijk is voor onderhoud van zijn eigen huis, maar daarin wel beperkt wordt door (lokale) wet- en regelgeving wat wel en niet mag, bijvoorbeeld omdat hij in een monumentaal pand woont met beperkingen op het gebied van renovatiewerk.
3. Willen: Eigenaren zijn niet gemotiveerd om eigenaarschap te nemen en doen dit ook doelbewust niet. Deze kom ik in de praktijk zelden tegen, en waar het zich voordoet is het vaak een gevolg van (1) en/of (2): omdat men merkt dat de beperkingen die zich op deze vlakken voordoen te veel inspanning vereisen om te voorkomen

Waarom lost de NIS2 dit op?

De NIS2, Network and Information Security Directive, is de opvolger van de NIS. Deze EU-richtlijn heeft als doel om de cyberbeveiliging en -weerbaarheid van essentiële en belangrijke diensten in EU-lidstaten te verbeteren. Om dit doel te realiseren schrijft de wet een aantal verplichtingen voor:

• Zorgplicht: organisaties die onder de richtlijn vallen zijn verplicht om op basis van de risico’s op het gebied van informatiebeveiliging voor hun organisatie gepaste maatregelen te treffen.
• Meldplicht: significante informatiebeveiligingsincidenten moeten binnen 24 uur gemeld worden bij de toezichthouder.
• Registratieplicht: entiteiten die onder de richtlijn vallen zijn verplicht om hun gegevens op te voeren in het entiteitenregister.
• Toezicht: op sectoraal niveau worden er binnen de EU-lidstaten toezichthouders aangewezen die naleving van de verplichtingen onder de NIS2 gaan controleren.
• Verantwoordelijkheden en kennis bij bestuur: de NIS2 schrijft voor dat bestuurders van organisaties moeten toezien op de risico’s, getroffen maatregelen en de uitvoering hiervan. Om hier goed invulling aan te geven, wordt er van bestuurders verwacht dat zij een aantoonbaar actueel kennisniveau over de NIS2 hebben én dat zij hier een opleiding voor hebben gevolgd.

Het hebben van een wet an sich lost dit probleem natuurlijk niet op. De toegenomen focus op bestuurlijke verantwoordelijkheid binnen informatiebeveiliging biedt nu juist de (verplichte) aanknopingspunten om hierin stappen te zetten.

Vanuit mijn perspectief geeft de NIS2 handvatten om beweging te krijgen op de uitdagingen rondom kunnen en mogen in eigenaarschap en geeft de wet zeker voldoende duidelijkheid dat er geen mogelijkheid is om niet te willen.

1. Verplichte opleiding (NIS2 artikel 20 lid 2 [1]): Zo’n verplichte training helpt bij het ontwikkelen van de kennis en vaardigheden van bestuurders op dit thema, waardoor zij beter in staat zijn om eigenaarschap te nemen. Ik heb niet de verwachting dat bestuurders informatiebeveiligingsexperts worden, en dat is ook niet noodzakelijk. Wel zie ik dat bestuurders een groter handelingsrepertoire nodig hebben om effectief invulling te kunnen geven aan hun rol binnen dit vakgebied. Training moet hen hierin voorzien: kennis van de materie, vaardigheden om het gesprek te voeren en gevoel bij de risico’s die er binnen hun organisatie spelen. Hiermee creëren ze de randvoorwaarden om over de drempel van ‘niet kunnen’ heen te stappen.
2. Duidelijke lijn in verantwoordelijkheid (NIS2 artikel 20 lid 1 [2]): of tenminste duidelijkheid over de eindverantwoordelijkheid op het gebied van de onderwerpen in de NIS2. De aansprakelijkheid voor de wetgeving binnen de organisatie wordt expliciet bij het bestuur neergelegd. Dit zorgt voor heldere aanwijzing van de uiteindelijke eindverantwoordelijkheid binnen de organisatie. Bestuurders kunnen hierdoor niet de verantwoordelijkheid elders in de organisatie beleggen omdat ze niet ‘willen’. Daarnaast is duidelijker wat de kaders zijn voor deze verantwoordelijkheden, doordat de NIS2 het speelveld beter heeft geduid waardoor ook scherper is waar de grenzen van ‘mogen’ liggen.

Kunnen, mogen en willen van eigenaarschap door NIS2

Bovenstaande onderdelen van de NIS2 helpen organisaties om in beweging te komen op de uitdagingen van kunnen, willen en mogen. Binnen een organisatie rijkt de governance echter verder dan enkel het bestuur. Dus met het opleiden van bestuurders ben je er nog niet. Als je namelijk ook aan de overige aspecten van de NIS2, en dan met name de zorgplicht, goed uitvoering wil geven. Dit vereist een omslag in de cultuur binnen de hele organisaties op het gebied van eigenaarschap.

Iedereen met verantwoordelijkheden voor processen, systemen, diensten, of hoe je het ook hebt georganiseerd in de organisatie, draagt verantwoordelijkheid voor informatiebeveiliging van die processen, systemen en of/diensten. De NIS2 legt de absolute eindverantwoordelijkheid duidelijk neer, inclusief de verplichting voor opleiding.

Wat mij betreft grijp je als bestuurder de kans aan en zorg je dat het gehele management zich laat opleiden. Zo creëer je breder eigenaarschap in de organisatie en voer je het juiste gesprek over de risico’s en maatregelen die voor jouw organisatie relevant zijn.

[1] De lidstaten zorgen ervoor dat de leden van de bestuursorganen van essentiële en belangrijke entiteiten een opleiding moeten volgen, en moedigen essentiële en belangrijke entiteiten aan om regelmatig een soortgelijke opleiding aan hun werknemers aan te bieden, zodat zij voldoende kennis en vaardigheden verwerven om risico’s te kunnen identificeren en risicobeheerspraktijken op het gebied van cyberbeveiliging en de gevolgen ervan voor de diensten die door de entiteit worden verleend, te kunnen beoordelen. [2] De lidstaten zorgen ervoor dat de bestuursorganen van essentiële en belangrijke entiteiten de door deze entiteiten genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren om te voldoen aan artikel 21, toezien op de uitvoering ervan en aansprakelijk kunnen worden gesteld voor inbreuken door de entiteiten op dat artikel.