NIS2 voor toezichthouders bij ZBO’s

Elk jaar raakt de wereld steeds meer met elkaar verbonden en neemt de afhankelijkheid van organisaties toe. Ook raken Informatie Technologie (IT)- en Operationele Technologie (OT)-structuren bij veel organisaties steeds meer geïntegreerd. Een (cyber)aanval, storing of en ongeluk in krijgt hierdoor steeds grotere gevolgen. In deze snel veranderende dreigingsomgeving introduceert de Europese Unie de NIS2-richtlijn: aangescherpte wetgeving die organisaties in kritieke sectoren verplicht hun digitale en fysieke beveiliging te versterken. Dit moet bedrijven en kritieke infrastructuren beter beschermen tegen aanvallen en incidenten. De richtlijn is op Europees niveau al van kracht, en wordt momenteel omgezet naar nationale wetgeving . Nederland haalde de deadline van oktober 2024 daarin niet, en brengt naar verwachting in het derde kwartaal van 2025 de Nederlandse “Cyberbeveiligingswet (Cbw)” uit. Deze wet is ook van toepassing op de meeste Zelfstandige Bestuursorganen (ZBO’s) in Nederland. KPMG organiseerde op 3 februari een NIS2 diner voor de toezichthouders van de ZBO’s. Tijdens het KPMG-event werden de nieuwe richtlijn, de verwachte vereisten, en de rol van toezichthouders uitgebreid besproken. 

Met de komst van de Network and Information Security-directive (NIS2) moeten meer sectoren aan strengere eisen voldoen dan bij de voorganger, de NIS. Naast de bekende kritieke sectoren zoals energie, zorg, transport en de overheid, vallen ook ZBOs als onderdeel van de Rijksoverheid onder deze richtlijn. De richtlijn is in het leven geroepen met als doel beveiligingsrisico’s te beheren en daarmee de impact van incidenten op hun diensten én ontvangers te beperken. De regelgeving is complex en er kunnen landelijke interpretatie- en implementatieverschillen optreden. Dit maakt het lastig om een gerichte en passende aanpak te bepalen, en kan leiden tot onduidelijkheid bij organisaties in scope. Daarom is het van belang dat bestuurders en toezichthouders scherp hebben wat er van hen verwacht wordt, waarbij de toezichthouders kunnen ondersteunen met de juiste vragen en een controlefunctie. 

De NIS2 vereist een integrale benadering van beveiliging, waarin Informatie Technologie (IT)-beveiliging, Operationele Technologie (OT) en fysieke bescherming hand in hand gaan. Het gaat hierbij om bestuurlijk verantwoordelijkheid, zorgplicht en risicobeheer en het naleven van meldplicht bij een incident. En dat stopt niet bij de eigen organisatie: als organisatie – en dus ook als ZBO – draag je met de NIS2 gedeelde verantwoordelijkheid voor de veiligheid en continuïteit van het gehele ketenproces. Des te belangrijker is het voor toezichthouders om te weten wat de richtlijn inhoudt, welke impact deze heeft op de ZBO’s en wat zij kunnen betekenen ter ondersteuning van het bestuur.

Organisaties die aan de NIS2 moeten voldoen staat voor verschillende uitdagingen. Ten eerste is er de vraag over scoping: welke organisaties vallen onder de richtlijn en in hoeverre zijn indirecte partijen betrokken? Dit wordt bepaald op basis van omzet, aantal medewerkers en sector. Het kan ook zijn dat je als organisatie buiten de scoping valt, maar wel met de NIS2 te maken krijgt, doordat je via een leverancier aan richtlijnen moet voldoen. Moet je als organisatie aan de richtlijn voldoen, dan spelen er drie grote uitdagingen:

Bestuur- en risicomanagement vragen veel aandacht. Het bestuur draagt binnen de NIS2 namelijk de verantwoordelijkheid voor het veilig houden van de essentiële diensten en moet zorgen dat het de omgeving, dienstverlening en de risico’s hierop goed begrijpt. Dit betekent ook dat het bestuur een brede verantwoordelijkheid op het gebied van (cyber)veiligheid draagt, wat verschillende uitdagingen met zich meebrengt. Veel bestuurders hebben onvoldoende kennis van cybersecurity, beveiliging en protocollen, of van de taal die binnen IT- en risicobeheer wordt gesproken. De risico’s die bij verschillende afdelingen liggen, worden daardoor niet altijd als samenhangend gezien. Een oplossing hiervoor is gebruik te maken van het three-lines model, of het opzetten van een Risk Board, waarin verschillende risicomanagementdisciplines, waaronder cybersecurity, samenkomen om integrale besluitvorming mogelijk te maken.

Het management van organisaties wordt ook persoonlijk aansprakelijk gehouden voor de naleving en de rapportageverplichting en kan flinke boetes krijgen wanneer dit niet wordt nageleefd. Voor de kennis en naleving van de richtlijn geldt dat bewustwording en training van bestuur en personeel van groot belang zijn.

Een andere uitdaging voor organisaties is ketenbeheer. Inzicht krijgen in de beveiliging van hun leveranciers en partners is een complexe taak, zeker voor grote organisaties met honderden of zelfs duizenden leveranciers. Een effectieve aanpak om de NIS2 (behapbaar) te volgen, bestaat uit vier stappen.

1. Inzichtelijk maken van de keten en het identificeren van de kritieke onderdelen.
2.  Het aantal leveranciers breng je terug naar een behapbaar aantal.
3.  Dit aantal kan je categoriseren op basis van risico en belang.
4. Met de écht relevante partijen die daaruit overblijven, maak je goede afspraken.

Een derde grote uitdaging is incidentbeheer: hoe goed en hoe snel kan je handelen in geval van een incident? Organisaties moeten niet alleen voorbereid zijn op verstoringen in hun eigen dienstverlening, maar ook op incidenten in de keten. Dit vraagt om inzicht in processen, systemen en risico’s en heldere protocollen, continuïteits- en herstelplannen. Een risk-based aanpak waarbij het stellen van eigen prioriteiten, passende maatregelen treffen naar aanleiding van een risicoanalyse, maatwerk bewustwordingstrainingen en het ontwikkelen van een eigen continuïteitsplan centraal staat, werpt daarbij veel meer zijn vruchten af dan een compliance-based aanpak, waarbij alleen wordt gedaan wat door de wetgeving wordt verplicht. Organisaties moeten afwegingen en gerichte keuzes maken en maatregelen treffen om aan de zaken uit de richtlijn te voldoen, die voor hen het grootste risico vormen. Oefenen met realistische scenario’s - samenwerking met de keten en het ecosysteem - informatie-uitwisseling zijn daarom essentieel.

De komst van de NIS2 brengt grote veranderingen met zich mee op het gebied van cybersecurity en bestuurdersaansprakelijkheid. Voor toezichthouders is het de uitdaging om de naleving effectief te controleren, terwijl organisaties zich moeten voorbereiden op strengere regels en hogere boetes.

Hoewel NIS2 compliance een flinke belasting op organisaties kan zijn, biedt het ook kansen om de organisatie beter te beschermen tegen cyberdreigingen,  de digitale weerbaarheid te vergroten en waar nodig, anders in te richten. Juist in deze gevallen geldt: voorkomen is vele malen beter dan genezen. KPMG helpt bedrijven en overheden om deze transitie soepel te laten verlopen, met een focus op risicobeheer, ketenveiligheid en effectieve incidentrespons. Uiteindelijk gaat het er niet alleen om compliant te zijn, maar vooral om veiliger en veerkrachtiger te worden in een steeds digitalere wereld.

Hoe de implementatie van de NIS2-richtlijn exact vorm gaat krijgen, is nog niet volledig bekend. Landen vullen namelijk zelf de uiteindelijke details in, bijvoorbeeld de inhoud en de duur van de bestuurderstrainingen. Toch zal er inhoudelijk niet veel meer veranderen en is het voor organisaties belangrijk alvast voor te bereiden op de inwerkingtreding van de NIS2. De belangrijkste vereisten zijn:

• Bestuurlijke verantwoordelijkheid: Cybersecurity moet op bestuursniveau worden besproken en er moet een verantwoordelijke worden aangewezen. Bestuurders en managementleden moeten verplicht trainingen volgen over cybersecurity en risicobeheer.
• Zorgplicht en risicobeheer: Een belangrijk principe van NIS2 is dat het niet alleen draait om naleving, maar vooral om risicobeheer. Organisaties moeten voorbereid zijn op verstoringen en moeten testen of hun maatregelen effectief zijn.
• Meldplicht: Incidenten moeten binnen 24 uur worden gemeld bij de toezichthouder en binnen 72 uur moet een inschatting van de impact worden gegeven. Een volledig rapport moet binnen een maand worden ingediend.

Ketenbeheer: Organisaties moeten niet alleen hun eigen beveiliging op orde hebben, maar ook inzicht krijgen in de beveiliging van hun leveranciers en partners. Want ook als je als organisatie buiten de scope van de NIS2 valt, kan je via indirecte betrokkenheid te maken krijgen met de richtlijn. Organisaties kunnen zich dus afvragen: wat doe ik? Van wie ben ik afhankelijk? En wie is er afhankelijk van mij?