Opnieuw organiseerde IT-dienstverlener Claranet een evenement over NIS2. Speciale gast was dit keer Lisette Oosterbosch. Zij is Community Manager van Cyber Weerbaarheidscentrum Brainport.
Dit is een samenwerkingsverband van en voor bedrijven en organisaties in de high tech en maakindustrie, en alle partijen in de toeleveringsketen – zoals mkb-bedrijven en ook msp’s en andere IT-dienstverleners.
Nederland haalt deadline niet
Voordat Oosterbosch aan het woord kwam, gaf Henk Liebeek, Product Manager bij Claranet een korte NIS2-update. “Iedereen weet inmiddels wel dat NIS2 in Europa op 17 oktober van start gaat,” trapte Liebeek af. “Inmiddels is ook al enige tijd duidelijk dat Nederland die deadline als het gaat om de nationale vertaling van de NIS2 niet gaat halen.” Dat betekent niet dat bedrijven daarmee uitstel hebben. “Als je ook in andere Europese landen actief bent geldt de NIS2 direct. En er is een grote kans dat je, als je alleen al onderdeel uitmaakt van een keten waarin buitenlandse partijen actief zijn, of ondernemingen die aan het buitenland leveren, de wetgeving ook direct voor jou geldt.”
Ketenverantwoordelijkheid als rode draad
Daarmee adresseerde Liebeek het belangrijkste thema van het evenement: ketenverantwoordelijkheid. Zodra je als onderneming onderdeel uitmaakt van een keten, en dat is zeker bij IT-dienstverleners het geval, en vaak ook voor mkb’ers die toeleverancier aan grotere ondernemingen zijn, heb je een verantwoordelijkheid om de keten veiliger te maken. “Denk terug aan incidenten rond managementsoftware die msp’s gebruiken voor het monitoren van de klantomgeving. De inbreuk was bij de leverancier van de software, maar via de msp’s die het product gebruiken kwamen cybercriminelen eenvoudig binnen bij de eindklant. Zo kwetsbaar kan een keten zijn.”
Toezichthouder coulant
Oosterbosch gaf een overzicht van de stand van zaken rond de invoering van NIS2 in Nederland. “Vorige week vernamen wij uit doorgaans betrouwbare bronnen dat de internetconsultatie die onderdeel is van de invoering van de Nederlandse regelgeving op 13 mei start.” Kortom: op dat moment is er een wetsvoorstel en op dat voorstel kunnen betrokken partijen commentaar geven. “Het is de bedoeling dat die reacties verwerkt worden, dat de wet vervolgens wordt behandeld in de Eerste en Tweede Kamer en dan direct van start gaat.” Oosterbosch verwacht dat dit komend voorjaar het geval zal zijn. “Heel belangrijke info is, dat de toezichthouder in eerste instantie coulant zal zijn.” Er worden dus niet direct sancties opgelegd, tenzij, vult Oosterbosch aan, ondernemingen aantoonbaar nalatig zijn.
Zelf melding doen
Oosterbosch deelde meer belangrijke informatie. “Wacht niet op een brief van een ministerie waarin staat dat je jouw onderneming moet registreren. Dat is jouw eigen verantwoordelijkheid. Bedrijven die onder de NIS2-vallen moeten zichzelf aanmelden bij de NCSC.” Dat is het het National CyberSecurity Center. Vermoed wordt, dat vooral kleinere bedrijven in het mkb, en msp’s zich dat niet realiseren.
Er bestaat geen NIS2-keurmerk
En ander interessant punt dat Oosterbosch meldde, is het feit dat er geen keurmerk of certificering (zoals ISO 72001) bestaat als het gaat om NIS2. “Als partijen zeggen dat ze dat keurmerk behaalden, dan is dat absoluut onzin en proberen ze te concurreren op het thema security, wat we niet moeten willen.” In de praktijk zal de toezichthouder kijken of je voor jouw organisatie, en de keten waarin jouw onderneming actief is, de maatregelen hebt genomen die nodig zijn voor het specifieke bedrijf in die specifieke keten. “Want dat is inmiddels duidelijk: NIS2 heeft impact op de hele keten. Het houdt niet op bij de organisatie zelf.” Vandaar ook dat NIS2 van groot belang kan zijn voor kleinere mkb-bedrijven of msp’s. “Ook als je minder dan vijftig medewerkers hebt of geen al te hoge omzet hebt, zul je ermee te maken krijgen. Bijvoorbeeld omdat jouw klant of opdrachtgever verlangt dat je NIS2-serieus neemt.”
Wil je weten of jouw bedrijf, of de keten waarin jouw onderneming, voldoet aan NIS2? Doen dan de NIS2-quickscan.
