De langverwachte Nederlandse uitwerking van de Europese NIS2-wetgeving ligt er in concept. Hoewel de uitwerking van de voorgenomen ‘Cyberbeveiligingswet’ op een aantal belangrijke punten minder concreet is dan de Europese richtlijn, is de hoofdlijn duidelijk: veel organisaties en hun partners moeten serieus aan de slag met security en maatregelen treffen om aan te tonen dat ze eraan voldoen.
Zoals vaker het geval is bij de invoering van nieuwe wetgeving, wordt er vooral veel nadruk gelegd op angst, onzekerheid en twijfel. Er wordt geschermd met de dwangmiddelen zoals boetes, het schorsen van bestuurders of het intrekken van vergunningen. Het lijkt bovendien alsof de staat van security in Nederland deplorabel is. Maar is dat nu echt het geval? Als we de invoering van de Cyberbeveilingswet in wording vanuit een ander perspectief, dus zonder angst, stress en paniek benaderen, is er wat ons betreft minder aanleiding om in een kramp te schieten. Er is nog redelijk wat tijd en ook voldoende om op terug te vallen. Daarmee onderschatten we de impact van de nieuwe wet niet, maar pleiten we om vijf redenen voor een nuchtere benadering.
Wetgeving is echt niet de enige driver voor bevorderen security
Veel organisaties die onder de NIS2-wet vallen werken namelijk al doorlopend aan het bevorderen van security. Niet alleen vanuit zakelijke belangen, maar ook vanuit intrinsieke motivatie om bij te dragen aan een veiligere maatschappij. Verder zijn er ook zonder deze wet al redelijk wat factoren die ervoor zorgen dat bedrijven hun security op orde moeten hebben. Denk bijvoorbeeld aan disciplinering vanuit de keten waarbij eisen worden gesteld op het gebied van security als voorwaarde voor een samenwerking of transactie.
Veel organisaties starten niet op nul
Een deel van de organisaties die plichtig zijn aan NIS2 was dit al aan de eerste versie van de wet en heeft daarmee al een goede basis. Ook zijn er bedrijven die moeten voldoen aan specifieke securitynormen om überhaupt in hun sector te kunnen opereren. Er is dus al een ‘security track record’ waarmee de meeste organisaties niet op nul starten. Verder zie je ook dat maatregelen die in de Europese versie van de wet worden genoemd van het niveau basishygiëne zijn en bij veel organisaties al geïmplementeerd zijn.
Nederland is relatief volwassen op securitygebied
Aansluitend op het vorige punt doet de paniekerige toon die veelal wordt gevoerd in bijdragen over NIS2, geen recht aan alle activiteiten die er de afgelopen jaren ook vanuit de overheid zijn ingezet om de maatschappelijke weerbaarheid te verhogen. Nederland is relatief volwassen op securitygebied. Ook gebeurt er veel in het kader van publiek-private samenwerking, maar ook binnen de sector, tussen bedrijven die elkaar in principe concurreren. Denk bijvoorbeeld aan Project Melissa waarbij het Openbaar Ministerie, de politie, het Nationaal Cyber Security Centrum (NCSC), Cyberveilig Nederland en diverse private partijen samenwerken om ransomware-criminaliteit tegen te gaan.
Toezicht en handhaving is niet direct op orde
Handhaving en het voorkomen van boetes zouden natuurlijk niet de belangrijkste redenen moeten zijn om te zorgen dat je security op orde is. Wel doet de berichtgeving rond NIS2 denken aan de paniek die er was rond de invoering van de privacywet AVG/GDPR. Ook daarbij struikelden de experts over elkaar heen om bedrijven aan te sporen tot actie omdat er anders risico was op grote boetes. Uiteindelijk werd bij de invoering van de wet de soep minder heet gegeten. Het heeft immers ruim twee jaar geduurd voordat toezicht en handhaving op orde waren. Een wet en alle bijbehorende processen inrichten kost nu eenmaal tijd. Hoewel je in de Nederlandse uitwerking een duidelijke structuur ziet voor de bestuursrechtelijke en operationele kant van de NIS2-wetgeving, met onder meer een landelijk toezicht- en handhaving- en responssysteem, heeft het ook hier tijd nodig voordat alles goed is geïmplementeerd.
Invoering van de Nederlandse wet is uitgesteld
Ook gaat Nederland de invoering van de wet – zoals deze in Europa gepland staat op 17 oktober – sowieso niet halen. In ons land treedt deze naar verwachting pas in het tweede of derde kwartaal van 2025 lokaal in werking. Hiermee lijkt de urgentie eraf te zijn. Toch is er wel een kanttekening voor bedrijven die minder volwassen zijn op het gebied van security. Zij kunnen deze tijd juist gebruiken als kans om de basis op orde krijgen. Denk bijvoorbeeld aan het inrichten van detectie en monitoring die nodig is om inzicht te krijgen in incidenten zodat je hier ook de verplichte melding van kunt doen. Verder is het gezien het Europese karakter van de wet voor Nederlandse bedrijven die vestigingen hebben in het buitenland, slim om alvast te inventariseren wat de plichten en rechten op lokaal niveau zijn zodat hier vanaf oktober wel aan voldaan wordt.
Hoewel NIS2 zeker aandacht verdient, ligt de handschoen op korte termijn vooral bij organisaties die minder volwassen zijn en bij organisaties die in internationaal verband opereren. Voor andere organisaties die al langer bewust bezig zijn met security is ons advies ‘Keep calm and carry on’.