Een einde aan de onduidelijkheid van NIS2

Nationale wetgeving

De eerste oorzaak ligt bij de overheid. Vanuit de EU is de beslissing over NIS2 genomen. Niet alle lidstaten hebben hun nationale wetgeving daar al op ingericht, waaronder Nederland. Omdat die nationale invulling van de wet nog onbekend is, is ook de impact van de NIS2-implementatie onduidelijk.

In andere woorden: organisaties weten nog niet exact waar ze wel óf niet aan toe zijn.

NIS2 informatie-explosie

Of je het nou als probleem bestempelt of niet, het veroorzaakt enorme ruis. De honderden IT-partijen die jou (willen) bedienen, proberen allemaal een graantje mee te pikken. Alles over NIS2 lijkt eigenlijk al geschreven, terwijl lang niet alles al bekend is. Dus waar moet je beginnen? Wie of wat moet je geloven?

Kippen zonder koppen

Aan de ene kant heb je de overvloed aan NIS2-artikelen die allerlei dingen roepen. Aan de andere kant ligt er een vage eerste versie van de Nederlandse NIS2-wet. Deze is eind mei 2024 flink bekritiseerd door belanghebbenden en cybersecurityexperts. ‘Vaag en weinig concreet’ is het commentaar. Waar de EU-wet op 17 oktober van dit jaar al ingaat, is de verwachting dat de wet in Nederland pas in het tweede of derde kwartaal van 2025 in werking treedt.

Het gevolg van deze onduidelijke koers?
Iedereen rent rond als kip zonder kop. Een eenduidig verhaal ontbreekt. Men MOET iets regelen, maar het is niet duidelijk wat. Organisaties weten niet of ze nou wél of niet moeten voldoen aan de NIS2-richtlijnen. ‘Hoor ik bij de kritieke, essentiële of belangrijke entiteiten?’ of ‘Is ons bedrijf NIS2-ready?’ zijn daarom lastige vragen. Vragen die ook onze klanten wel eens stellen.

Nick Snabel, Project Engineer bij UniProfs, laat zich uit over NIS2 met zijn ervaring in security. Hij begint met zijn belangrijkste boodschap: “Je moet sowieso bezig zijn met de cyberweerbaarheid van je organisatie. Ongeacht de NIS2-manie in de sector. Uiteindelijk moet je zelf (met specialistische hulp) een fundering op poten zetten en de handen uit de mouwen steken.”

NIST met een twist

Bij UniProfs ligt security per definitie over elke laag van onze werkwijze, dat is de rode draad. Nick gaat verder: “Wij werken vanuit ons Stay Secure Cybersecurity Framework. Deze is gebaseerd op het welbekende NIST-framework, maar met de nuchterheid en simpliciteit die je van UniProfs kent. Zo zorgen we voor een krachtige cyberweerbaarheid die je al klaarstoomt voor wettelijke veiligheidseisen. En dat is ongeacht de dienst die je bij ons afneemt.”

Een gedegen verdedigingslinie betekent niet dat je voldoet aan NIS2-richtlijnen. Maar het is wel de basis vanuit waar je processen en beleid kan opstellen voor meldplicht en zorgplicht.

En die basis is meestal nog niet op orde. Bij de zorgplicht valt op dat er maar weinig wordt gedaan aan risicoanalyses. Men is zich nog onvoldoende bewust dat dit een cruciaal onderdeel is van bedrijfsveiligheid. Én van NIS2.

Organisaties nemen wél maatregelen om hun continuïteit te waarborgen, dat zeker. Alleen voelt dat een beetje als schieten met hagel, zo zonder inzicht in de eigenlijke risico’s.

Verder is de meldplicht vrij beroerd geregeld bij veel organisaties. Wie is verantwoordelijk voor het maken van de melding? Welke beveiligings-of datalekken moeten we melden? Op wat voor manier? Er is geen vast proces voor bij het overgrote percentage van de organisaties. Dat geeft ruimte voor eigen interpretatie, en dat leidt weer tot onhandigheden.

Naast het belang dat je organisatiebreed een stevig securitybeleid nodig hebt, moet je een vast proces inbedden. Zowel voor het stukje risicobeheersing als het in kaart brengen van datalekprocessen. En uiteraard de meldprocedure die daarbij hoort.

Hoe je dergelijk beleid perfect integreert in jouw bedrijfsvoering? Daar kan UniProfs bij helpen. We kijken samen naar wat je wel én niet hoeft te doen. Zodat jij geen kopzorgen meer hebt over NIS2. Maar vooral dat jij en jouw klanten zo veilig mogelijk zijn op de meest kostenefficiënte manier. Dat doen we simpel, veilig en met jouw belangen op ons netvlies.