Impact NIS2 op overheden 'potentieel enorm'

Lokale overheden zullen aan de slag moeten met aankomende Europese digitale wetgeving. Ze zullen in ieder geval het nodige budget moeten vrijmaken, want dat is een van de ‘keiharde implicaties’, waarschuwt CEO Dave Maasland van internetbeveiligingsbedrijf ESET Nederland. Hij roept bestuurders op om niet te wachten met reageren op bijvoorbeeld NIS2, want zij kunnen verantwoordelijk worden gesteld. ‘Het wordt chefsache.’

Wat bracht Prinsjesdag?

Maasland: ‘Digitale veiligheid en cybersecurity worden in één adem genoemd met grote thema’s als georganiseerde misdaad. Ze mogen eindelijk bij de grote jongens zitten. Vooral in de begroting van het ministerie van Justitie en Veiligheid wordt duidelijk aangegeven dat de budgetten worden verhoogd vanwege de NIS2-richtlijn. Het gaat om de bescherming van de vitale infrastructuur.’

Wat maakt die NIS2-richtlijn, die gaat over netwerk- en informatiesystemen, zo belangrijk?

‘De omvang en de impact zijn potentieel enorm. Het is duidelijk dat de digitalisering toeneemt en ook de aanvallen, waardoor de nationale veiligheid onder druk staat. Het doel is om Europa veilig te houden en digitale veiligheid is daarbij een van de prioriteiten. Met deze richtlijn gaan we van een paar duizend vitale Europese entiteiten, zowel publieke als private, naar meer dan honderdduizend. ’

Hoe gaat NIS2 voor verbetering zorgen?

‘Er zijn vier hoofdlijnen: de opgelegde beveiligingseisen worden aangescherpt, de beveiliging van de hele leveranciersketen moet worden aangepakt, de rapportageverplichtingen worden gestroomlijnd en, als belangrijk sluitstuk, er komt strenger toezicht. Bij sommige partijen zal dat zelfs proactief zijn: ook al is er niets gebeurd, dan nog wordt er gekeken of ze aan de zorgplicht voldoen.'

De vernieuwing zit vooral in de functionaliteit, maar er wordt niet altijd goed nagedacht over de veiligheid

'Net als bij de GDPR, in Nederland vertaald als de AVG, zullen er boetes zijn, van bijvoorbeeld een percentage van de jaaromzet. Ook kan de CEO of bestuurder verantwoordelijk worden gesteld, met mogelijke schorsingen als gevolg. Het wordt chefsache.’

En NIS1 was verouderd?

‘Ja. Die veroudering zit met name in het niet noemen van bepaalde sectoren, zoals de voedselvoorziening. In deze gedigitaliseerde wereld is goed de impact te zien als die vitale organisaties stilvallen - we zagen het met Hof van Twente. NIS1 ging niet ver genoeg en bepaalt niet welke maatregelen moeten worden genomen. Europa was er vroeg mee, want de regeling komt uit 2016, maar het dreigingslandschap is ook door de geopolitieke situatie belangrijker dan ooit.’

Wat moeten overheden doen om mee te komen?

‘Ze kunnen zich al inlezen. Er staat al in wat er ongeveer moet gebeuren om de organisatie op orde te brengen. Back-ups maken, testen – dat soort fundamentele zaken. Formeel wordt de richtlijn waarschijnlijk pas in de herfst van dit jaar aangenomen en de verwachting is dat die in 2024 van kracht wordt, maar ik zou aanraden om niet tot dan te wachten. Bestuurders van publieke organisaties: houd dit in de gaten.’

Dan is er ook nog de Radio Equipment Directive, een framework voor draadloze producten die op de Europese markt komen.

‘Ik ben daar blij mee omdat we alles aansluiten op het internet: ik heb net een tandenborstel gekocht waarmee ik via een app kan bijhouden of ik goed poets. Het werkt als een trein, maar zo sluiten we alles overal op aan. De vernieuwing zit vooral in de functionaliteit, maar er wordt niet altijd goed nagedacht over de veiligheid. Dát wordt weer geregeld door de Cyber Resilience Act, waar vorige week het voorstel voor kwam. Elk product met een digitale component moet daaraan voldoen.’

Al die wetgeving – de AI Act, de Data Act, de Data Governance Act, de Digital Markets Act, de Digital Services Act en dan de Cyber Resilience Act – hoort dat bij elkaar?

‘Ik denk wel dat we het moeten zien als één thema: digitale veiligheid moet serieus worden genomen en het is een veelkoppig monster. Al die wetgeving is voor een digitaal weerbaar Europa, maar het gaat over aparte deelgebieden: NIS2 over de veiligheid van vitale sectoren, de Cyber Resilience Act over digitale producten en de Digital Markets Act moet de macht beperken van digitale platformen.’

‘Als ik door een Binnenlands Bestuur-bril kijk: publieke organisaties gaan vallen onder NIS2. Men heeft al onderzocht dat organisaties die nu nog niet onder die richtlijn vallen, een maximale stijging van het budget nodig zullen hebben van 22 procent. Organisaties die er wel al onder vallen, 12 procent. Deze wetgeving heeft keiharde implicaties.’

Is er nog andere wetgeving waar overheden rekening mee moeten houden?

‘In theorie kan het zo zijn dat, door wetgeving in Amerika, data die in het buitenland is opgeslagen bij een Amerikaans bedrijf opgevraagd kan worden door de Amerikaanse overheid, als de rechter dat nodig acht. En onlangs kondigde staatssecretaris Van Huffelen aan dat publieke organisaties commerciële cloudbedrijven mogen gebruiken. In feite betekent het dat je een stukje soevereiniteit opgeeft.’

Concluderend: overheden moeten niet wachten totdat deze wetten er zijn?

‘Het slechtste wat je kunt doen is afwachten tot iemand zegt dat dit moet gebeuren. De contouren zijn allang bekend, de richting is bekend, en als je in 2024 wil aantonen dat je de opgave serieus neemt dan helpt het als je kunt laten zien dat je in 2022 bent begonnen. Wacht dus niet af.’