Digitale weerbaarheid is geen certificaat

NIS2 is een EU-richtlijn (de European Network en Information Security Directive EU n. 2022/2555) die tot doel heeft een hoger gemeenschappelijk niveau van cybersecurity te realiseren en daarmee de digitale weerbaarheid te verbeteren. Als je een bestuurslid, directeur of manager bent in de publieke sector, is de term NIS2 je ongetwijfeld al ter ore gekomen. Maar wat betekent dit concreet voor je dagelijkse werkzaamheden? Dit artikel geeft een uitgebreide uitleg over waarom digitale weerbaarheid niet langer een IT-project is, maar een cruciale en fundamentele taak van modern bestuur.

Tegenwoordig beginnen de meeste publieke organisaties hun NIS2 traject met het afgaan van een checklist. Ze vragen zich voortdurend af: "Wat moeten we regelen?" en "Wat moeten we bewijzen?". Deze focus op bewijsstukken duidt op een algemeen misverstand over compliance; wie NIS2 ziet als een "klassieke" checklist gaat voorbij aan het feit dat het een nieuwe systemische benadering betreft.

De richtlijn omschrijft niet alleen de beveiligingstechnieken, maar benadrukt de zorgplicht van het bestuur. Hoewel de wet een enorme technische component heeft, omschrijft de wet digitale weerbaarheid eerst en vooral als een bestuurlijke verantwoordelijkheid. Het is niet iets dat simpelweg aan de IT-afdeling gedelegeerd kan worden om het daar vervolgens bij te laten.

NIS2 verbreedt de horizon: een digitale verstoring (zoals een datalek of incident) is voortaan handhaafbaar als een falen van de bedrijfsvoering, waarbij het bestuur direct verantwoordelijk is. Dit betekent dat toezichthouders bij aantoonbare nalatigheid bestuurders persoonlijk aansprakelijk kunnen stellen. Daarnaast is het bestuur verplicht om trainingen te volgen om voldoende kennis en vaardigheden op te doen om hun verantwoordelijkheden uit te dragen.

Wat houdt nalatigheid in?

Artikel 21 van de NIS2-richtlijn biedt een lijst met maatregelen voor cyberbeveiliging en risicobeheer die publieke organisaties moeten implementeren. Deze maatregelen omvatten onder meer incidentafhandeling, bedrijfscontinuïteit en crisisbeheer, basispraktijken voor cyberhygiëne, en beleid rondom versleuteling. Het niet implementeren van deze maatregelen kan worden gezien als nalatigheid van het bestuur waarvoor bestuursleden dus persoonlijk aansprakelijk gesteld kunnen worden. Maar hoe werkt dat in de praktijk?

Een typisch voorbeeld van nalatigheid is een bestuur dat herhaaldelijk budgetverzoeken negeert die de digitale weerbaarheid zullen versterken, bijvoorbeeld als er een kwetsbaarheid wordt ontdekt in het systeem dat wordt gebruikt voor Wmo-betalingen en de beheerders middelen nodig hebben om deze kwetsbaarheid te herstellen, maar het bestuur deze middelen niet toekent. Als deze kwetsbaarheid op een later moment wordt uitgebuit door kwaadwillenden, dan is het nalaten van actie (in dit geval het niet toekennen van budget voor herstel) een voorbeeld van nalatigheid.

Om dit te voorkomen, zul je data niet langer als een IT-bijproduct moeten zien, maar als de ruggengraat van de bedrijfsvoering. We helpen jouw organisatie graag om versnippering te doorbreken door eigenaarschap te beleggen: van systemen naar proceseigenaars die verantwoordelijk zijn voor hun eigen datastromen.

De juiste vraag: zijn we NIS2-weerbaar?

Anders dan de bewijsstukvraag zul je jezelf de vraag moeten stellen: "Zijn we weerbaar genoeg om aan de nieuwe NIS2-eisen te voldoen?". Deze verschuiving in focus - van bewijsvoering en verantwoording naar denken in weerbaarheid verandert de strategie:

Het is niet alleen een kwestie van louter preventie; er moet ook geïnvesteerd worden in herstelcapaciteit. Je zorgt voor een volledig voorbereid en helder crisiscommunicatieplan tussen juridische zaken, IT, compliance en bestuursleden voor wanneer er sprake is van een incident.

De CISO als de belangrijkste adviseur

Je CISO speelt een kernrol in het NIS2-klaarmaken van je organisatie. Een CISO geeft uitleg over digitale risico's, en niet louter over incidenten. In plaats van een ‘technisch softwarelek’ te benoemen, legt een CISO uit welk risico je bedrijfsvoering daarmee loopt. Bijvoorbeeld: "Dit specifieke risico kan onze standaardbetalingen volgende maand vertragen". Deze risicoinformatie helpt je om weloverwogen beslissingen te nemen. Een onafhankelijke CISO biedt bovendien de nodige checks and balances om blinde vlekken bloot te leggen die IT-afdelingen bij het evalueren van hun eigen werk over het hoofd kunnen zien.

Toeleveringsketen: de verborgen schakel

Misschien wel het meest onderschatte deel van NIS2 is de ketenverantwoordelijkheid. Je bent namelijk ook verantwoordelijk voor de digitale weerbaarheid van je gehele netwerk van leveranciers. Publieke organisaties vertrouwen dagelijks op tientallen externe partners: het softwarebedrijf dat het zaaksysteem beheert, de cloudprovider van je infrastructuur of het externe bureau met toegang tot gevoelige inwonergegevens. Als een kleine, gespecialiseerde leverancier die je voor bijvoorbeeld kadastergegevens gebruikt, wordt gecompromitteerd, kan de dienstverlening stilvallen.

NIS2 vereist dat je voldoet aan strikte beveiligingseisen en — cruciaal — controleert of deze worden nageleefd via audits en contracten. In Nederland heeft de Rijksinspectie Digitale Infrastructuur (RDI) hierin een coördinerende rol.

Voldoen aan deze eisen en deze controleren is een doorlopende managementtaak, geen eenmalig project. Daarnaast moet rekening worden gehouden met ‘significante incidenten’ die ernstige operationele verstoringen, financieel verlies of aanzienlijke schade aan andere entiteiten of personen veroorzaken.

Een cultuur van leren

Het essentieel om een cultuur van bewustzijn te stimuleren. Als een medewerker bang is om een verdachte link te melden omdat hij vreest voor een berisping, wordt de organisatie kwetsbaar voor cyberaanvallen. Adequate voorbereiding op digitale weerbaarheid wordt gebouwd met continue training: een open leeromgeving waar het melden van fouten wordt aangemoedigd en gewaardeerd. Dit soort trainingen bieden wij vanuit Van Dam Datapartners in onze opleidingsomgeving.

Neem de regie over de digitale weerbaarheid

NIS2 moet niet worden gezien als een last, maar als een kans om de bestuurlijke grip op de digitale omgeving structureel te versterken. De overgang van eenvoudige compliance naar echte organisatorische weerbaarheid vereist deskundige begeleiding en een doordachte aanpak.

NIS2 dwingt organisaties om de regie te pakken. Versnipperde informatie en vage verantwoordelijkheden maken plaats voor integraal overzicht. De richtlijn eist dat je weet welke data je hebt, hoe processen lopen en waar de risico’s liggen. Het is tijd om van 'gevoelige veiligheid' naar aantoonbare controle te gaan.

Als je hier ondersteuning bij nodig hebt, staan we voor je klaar. We helpen organisaties om de ‘taal’ van NIS2 te spreken. Dat doen we niet alleen door het aanbieden van op maat gemaakte trainingen, maar vooral ook met technische en strategische expertise in jouw organisatie.