“De aandacht voor digitale dreigingen verschuift richting de bestuurder”

De NIS2-richtlijn brengt veranderingen met zich mee voor bedrijven en organisaties die hieraan moeten gaan voldoen. In dit interview deelt Peter Baard (Manager ICT en CISO bij NV RENDO Holding) zijn visie op de impact van NIS2. Hij bespreekt onderwerpen zoals de bestuurdersaansprakelijkheid, de meldplicht en de grootste uitdagingen die de richtlijn met zich meebrengt. Ook geeft hij inzichten in hoe organisaties zich het beste kunnen voorbereiden op deze nieuwe verplichtingen.

Peter, hoe denk je over de NIS2-richtlijn? 

“Ik heb de NIS2-richtlijn gelezen en er zijn altijd twee perspectieven om dat te doen; de letterlijke tekst en interpreteren wat de geest van de richtlijn of wet is. De geest van de NIS2 is het veiligheidsniveau van Europa naar een hoger plan tillen. In die zin vind ik het een hele goede stap. De vraag is wel in welke mate de Nederlandse wet wordt ingevuld. Hoe zorg je ervoor dat dit in de geest van de wet gebeurt? Bij de AVG zagen we dat het meer ging om het aanvinken van boxjes; het compliant zijn. Laten we bij de NIS2 vanuit de doelen kijken en dan de juiste stappen nemen.” 

Welk onderdeel van NIS2 is wat jou betreft de moeite waard om extra te benoemen?

“Wat ik heel goed vind, is dat aandacht voor digitale dreigingen verschuift richting de bestuurder. Zij moeten de grotere risico’s kunnen beoordelen, ook op het gebied van informatiebeveiliging. Dat vraagt iets van beide kanten; bestuurders en CISO’s. CISO’s moeten namelijk minder in buzzwords praten en bestuurders moeten zich meer gaan verdiepen in de impact die cyber security op de organisatie en haar diensten.  Ik denk dat de NIS2 eraan bijdraagt dat dat bestuurder en CISO dichterbij elkaar komen. Maar dan moet de CISO niet in kreten als ‘SOC SIEM’ praten, snap je?”

"Ik ben een oud ondernemer en heb veel met mkb'ers gewerkt. Of het nu een onbekend of bekend risico is, je wilt absoluut niet ten onder gaan met je bedrijf. Maar maatregelen die je neemt moeten wel proportioneel en passend zijn. Daarnaast speelt ethiek mee. Je wil iets goed doen voor je klanten.” 

Hoe zie je de impact van de bestuurdersaansprakelijkheid?

“Over de bestuurdersaansprakelijkheid kan ik heel kort zijn. Dat zouden ze kunnen afdekken met een verzekering. En als die het niet dekt, moet je het wel heel bont hebben gemaakt en werkelijk zaken op dit vlak hebben verwaarloosd.” 

Hoe denk je over de meldplicht die de richtlijn voorschrijft?

“Meldplicht is wat mij betreft wat anders. We moeten op Europees vlak grip krijgen op cybercrime en dan moeten we weten wat er speelt. Veel organisaties zijn nu nog niet wettelijk aansprakelijk. Maar ik vind het heel kwalijk, dat organisaties het niet melden als ze geraakt zijn aan hun klanten en leveranciers die hier mogelijk de impact van ondervinden en bij melding ook eigen risico inschatting kunnen maken en waar nodig tijdig maatregelen kunnen treffen. Die meldplicht is een uitstekend middel. Dat betekent wel dat je ook het formele meldingsproces goed moet inrichten in je eigen organisatie. Wie is waarvoor verantwoordelijk? Wie meldt het aan de autoriteit persoonsgegevens? Wie doet aangifte bij de politie. En ja er komt een schakel bij, je moet je digitale inbraak bij nog een entiteit melden, maar dat hoeft ook weer niet heel veel werk te zijn. De deadlines die ervoor staan zijn best redelijk. En je hoeft in het begin maar beknopt aan te geven wat er aan de hand is.” 

Waar zit de grootste uitdaging denk je?

“De ketenverantwoordelijkheid zoals omschreven in de NIS2 is de moeilijkste slag. Je hebt namelijk te maken met bestaande contracten, megaspelers zoals Microsoft die met eigen voorwaarden werken, maar ook met kleine en soms belangrijke leveranciers die mogelijk zaken minder op orde hebben qua informatiebeveiliging. Een veelheid aan leveranciers dus. Hoe ga je om met die veelheid aan leveranciers? Leg je die allemaal dezelfde eisen op? En welke eisen kan je eigenlijk stellen aan een grotere speler als bijvoorbeeld AFAS?

Je moet jezelf voorstellen hoe en of je processen of diensten nog wel kunnen doordraaien als digitale diensten van jouw leveranciers wegvallen of data verloren gaat. Die inzichten zijn belangrijk. Zou je op zo’n moment snel kunnen switchen naar een andere partij of heb je niet-digitale terugvalopties? Of ga je ervanuit dat alles door blijft draaien?” 

Hoe kunnen organisaties zich voorbereiden?

“Ter voorbereiding op de NIS2 heeft een aantal mensen in de organisatie afzonderlijk van elkaar de NIS2 Quickscan ingevuld. Waaronder de algemeen directeur en vijf mensen van het CISO en IT-team. Nadat iedereen het had ingevuld, hebben we de scores naast elkaar gezet. Echt leuk en ook nuttig om te zien wat er dan uit komt. We hebben de scores direct met elkaar besproken om zo tot gezamenlijke invulling en beeld te komen.  En nee ik vond de scan niet te juridisch, hij is goed te begrijpen. Ook bestuurders moeten begrijpen wat het betekent voor hun bedrijfsprocessen.”