Dave Maasland: Wacht niet met reageren op Europese securityrichtlijn NIS2

De NIS is een Europese cybersecuritywet voor netwerk- en informatiesystemen. Op dit moment geldt in heel Europa - dus ook in Nederland - nog de NIS1, en dan specifiek voor essentiële bedrijven, zoals organisaties in de gezondheidszorg en waterbedrijven. De NIS2 merkt meer organisaties als essentieel bedrijf aan, waaronder aanbieders van elektronische communicatienetwerken, sociale netwerkplatformen, datacentra en centrale en regionale overheden.

Daarnaast worden de beveiligingseisen aangescherpt, vertelt Maasland tegenover Binnenlands Bestuur. "‘Er zijn vier hoofdlijnen: de opgelegde beveiligingseisen worden aangescherpt, de beveiliging van de hele leveranciersketen moet worden aangepakt, de rapportageverplichtingen worden gestroomlijnd en, als belangrijk sluitstuk, er komt strenger toezicht. Bij sommige partijen zal dat zelfs proactief zijn: ook al is er niets gebeurd, dan nog wordt er gekeken of ze aan de zorgplicht voldoen."

Mochten organisaties niet voldoen aan de nieuwe richtlijn - die naar verwachting in de herfst van 2024 in gaat - dan kunnen zij een boete verwachten. Die kunnen oplopen tot 10 miljoen euro of 2% van de jaarlijkse omzet wereldwijd. Daarnaast kan de CEO of bestuurder verantwoordelijk worden gesteld, met mogelijke schorsingen als gevolg. 

Nu al mee aan de slag

In de begroting van het ministerie van Justitie en Veiligheid, die op Prinsjesdag werd gepresenteerd, valt te lezen dat de budgetten daar al worden verhoogd vanwege de NIS2-richtlijn, signaleert de CEO. Logisch, want overheden moeten er volgens hem nu al mee aan de slag. "Het slechtste wat je kunt doen is afwachten tot iemand zegt dat dit moet gebeuren. De contouren zijn allang bekend, de richting is bekend, en als je in 2024 wil aantonen dat je de opgave serieus neemt dan helpt het als je kunt laten zien dat je in 2022 bent begonnen. Wacht dus niet af."

Maasland adviseert bestuurders om zich nu vast in te lezen. "Er staat al in wat er ongeveer moet gebeuren om de organisatie op orde te brengen. Back-ups maken, testen – dat soort fundamentele zaken."