Een goed gesprek met: Tesorion: ‘Voorkom dat NIS2 een gamechanger is’

De Europese Richtlijn NIS2 voor informatiebeveiliging is één van de belangrijke onderwerpen in het kanaal. In de ogen van senior consultants Frans Dondorp en Marcel de Haan van Tesorion moeten bedrijven voorkomen dat het een gamechanger is voor bedrijven en IT-dienstverleners. In een goed gesprek leggen ze uit waarom.

Frans ziet de nieuwe richtlijn Network and Information Security, ook wel NIS2, als een herhaling van de AVG. Bij NIS2 gaat het om Informatiebeveiliging (IB) en bij de AVG om privacy. “Voor zowel IB als privacy hebben we al heel lang regels, maar die werden amper nageleefd. De AVG heeft de mogelijkheid sancties op te leggen en dat heeft impact. NIS2 doet dat ook. NIS2 zou daarbij geen gamechanger moeten zijn, je had de maatregelen immers al moeten nemen.”

De realiteit is echter dat veel bedrijven structureel tot nu toe te weinig aandacht besteden aan IB. Frans: “Als de sancties van NIS2 de motivatie is voor directies om IB nu pas een vaste plek op de agenda te geven, dan is het tijd zich zorgen te maken.”

Daarmee heeft hij een belangrijk punt van NIS2 benoemd. Net als bij de AVG zijn directies en bestuurders verantwoordelijk voor het IB. Het grote verschil tussen AVG en NIS2 is echter dat de scope van IB veel breder is. Ter vergelijk: AVG gaat over de vertrouwelijkheid van persoonsgegevens, IB gaat over de kwaliteit van ALLE bedrijfsgegevens. Daarmee is NIS2 echt van een andere orde dan AVG.

Sneeuwbaleffect

De hoop dat IT-dienstverleners buiten schot blijven, is onterecht. Marcel legt dat uit. “In Nederland gaan ongeveer 10.000 bedrijven en organisaties direct met NIS2 te maken krijgen. Zij zullen procedures moeten naleven en op termijn volgt er ook een audit. Dat aantal lijkt op het eerste gezicht wellicht mee te vallen, maar is al zo’n 25 keer meer dan de bedrijven die onder de eerste NIS-versie vielen. En dan houd je nog geen rekening met het sneeuwbaleffect van organisaties die indirect met NIS2 te maken krijgen.”

Daarmee bedoelt hij iets dat nu al bijvoorbeeld speelt bij ISO-certificeringen. Als dat van een leverancier wordt geëist dan zal die voorwaarde vroeg of laat ook door die leverancier aan zijn eigen toeleveranciers worden gesteld. “Dus ook als kleinere aanbieder ga je met NIS2 te maken krijgen.”

Tools 

Toen de AVG om de hoek kwam kijken is die aangegrepen om meer hard- en software te verkopen. Zal zoiets nu weer gebeuren? Frans verwacht van wel. “Het is echter pertinent onjuist te denken dat je door een Excel-sheet of slim kastje NIS2-compliant kunt worden. Het zijn in het beste geval tools die directies en bestuurders helpen de volgende vragen te beantwoorden: wat beveilig je, waarom en met welke prioriteit? Dat is een afweging van het bedrijfsrisico. Vergelijk het met een fietsslot. Neem je genoegen met een slot van een paar euro voor je dure racefiets of wil je juist een slot van 300 euro voor je studentenfiets van een paar tientjes? Daar maak je ook een afweging.”

Marcel vult Frans aan: “Uitbesteden aan de IT-dienstverlener is evenmin een oplossing. Sterker nog, dat kan je niet verleggen. Bestuurders en directies zijn volledig verantwoordelijk dat de IB op orde is. Dat doen ze uiteraard niet alleen. Focus op IB betekent dat inkoop andere eisen moet stellen, IT-beheer naar andere dingen moet kijken en dat de medewerkers awareness op peil is. De enige manier waarop je dat voor elkaar krijgt is door processen te veranderen en als organisatie meer met elkaar samen te werken. Dat betekent ook dat je als organisatie in staat moet zijn om continu risico’s af te wegen en keuzes te maken. Daar zit volgens ons dan ook de impliciete uitdaging van NIS2.”

Rol IT-dienstverlener

Als NIS2 zo zeer een bedrijfsinterne aangelegenheid is, wat is dan de rol voor de externe IT-dienstverlener? Verandert er daar wat? Marcel: “Van leveranciers zal door die ketenwerking andere aantoonbare kwaliteit worden verwacht. Of iedereen aan die eisen kan voldoen, zal per geval verschillen.”

Frans neemt spreekwoordelijk het neefje van de directeur van een zorginstelling als voorbeeld. “Als dat neefje tot nu toe de digitale omgeving voor de medicijnverstrekking verzorgt, dan moet de directeur zich nu echt gaan afvragen welke risico’s daaraan verbonden zijn. Grote kans dat de conclusie luidt dat daarvoor een andere partij moet worden gevonden. De website voor de bezoekerstijden en de excursies voor de bewoners kunnen wel bij het neefje blijven, omdat daar amper waardevolle data bij betrokken is of risico’s aan verbonden zijn.”

Het neefje zal dus omzet gaan verliezen. Maar er komt ook ruimte zich te specialiseren of er andere taken bij te nemen. De lezer van Infosecurity Magazine kan aan de hand van dat fictieve voorbeeld ook een inschatting maken van wat NIS2 voor hem betekent.

Directie-onderwerp

NIS2 is bedoeld voor de directies van organisaties die IT-diensten nodig hebben om te blijven draaien en te bestaan, dat zijn dus (bijna?) alle organisaties. Frans: “NIS2 is geen intern IT-feestje, maar een onderwerp voor de directie. Dat die dienstverlener er iets van gaat merken mag duidelijk zijn. Maar laten we niet in de valkuil stappen hem taken toe te dichten waar de leverancier niet verantwoordelijk voor kan en mag zijn.”

Meer weten over Tesorion? Bel dan naar 033 456 36 63 of stuur een e-mail naar marketing@tesorion.nl.