Wordt je aangevallen?
De Cyberbeveiligingswet is bijna een feit. Wat staat er nu eigenlijk in voor uw organisatie?
Over zes weken treedt de Cyberbeveiligingswet naar verwachting in werking. Geen overgangstermijn. Geen inloopperiode. De wet geldt, of uw organisatie er klaar voor is of niet.
Ik merk in gesprekken met directeuren en bestuurders dat er veel onduidelijkheid bestaat over wat de wet nu precies betekent in de praktijk. De meeste mensen hebben wel gehoord van NIS2. Minder mensen weten wat er concreet van hen wordt verwacht en wie er op hen toeziet.
Dat probeer ik hier recht te zetten.
Wat verandert er voor u als bestuurder?
De Cyberbeveiligingswet, de Nederlandse uitwerking van de Europese NIS2-richtlijn, legt vier verplichtingen op aan organisaties in zogenaamde essentiële en belangrijke sectoren. Industrie, zorg en logistiek vallen hier vrijwel zeker onder.
Die vier verplichtingen zijn:
- Zorgplicht: u moet aantoonbare, passende maatregelen treffen om uw netwerk- en informatiesystemen te beveiligen.
- Registratieplicht: u meldt uw organisatie aan bij de bevoegde toezichthouder.
- Meldplicht: bij een incident dat uw dienstverlening significant verstoort, heeft u 24 uur voor een vroege waarschuwing en 72 uur voor een volledig rapport.
- Trainingsplicht: uw bestuur moet aantoonbaar kennis hebben van cybersecurity en de risicos actief beheren.
Dat laatste punt wordt nog vaak onderschat. De wet maakt cybersecurity geen IT-verantwoordelijkheid meer. Het is een bestuurstaak, met persoonlijke aansprakelijkheid als consequentie.
Wie houdt toezicht op uw sector?
Dat hangt af van uw sector. Voor de maakindustrie en digitale dienstverlening is dat de Rijksinspectie Digitale Infrastructuur (RDI). Voor transport, logistiek en chemie is dat de Inspectie Leefomgeving en Transport (ILT). Voor de zorg loopt de route via het ministerie van VWS, met Z-CERT als operationeel meldpunt.
Weet u voor uw eigen organisatie bij welke toezichthouder u valt? En heeft u een meldproces ingericht waarmee u binnen 24 uur kunt handelen?
Wat zien wij in de praktijk?
We spreken wekelijks met organisaties in industrie, zorg en logistiek. Wat ons opvalt: de wil om het goed te doen is er vrijwel altijd. Wat ontbreekt, is structuur.
Veel organisaties werken nog met losse projecten, afhankelijk van een paar mensen die het er even bij doen. Dat is precies wat de Cyberbeveiligingswet wil doorbreken. De wet vraagt geen perfectie, maar wel aantoonbaarheid. U moet kunnen laten zien dat u maatregelen heeft getroffen, dat u ze onderhoudt, en dat u weet wat u doet als het toch misgaat.
De ChipSoft-ransomware-aanval van april dit jaar illustreert dit scherp. Niet als verwijt aan de getroffen organisaties, herstel is inmiddels in volle gang, maar als realiteitscheck: 76 procent van de Nederlandse ziekenhuizen draait hetzelfde elektronisch patientendossier. Een leveranciersincident raakt daarmee de hele keten. De wet vraagt u om dat soort ketenafhankelijkheid te kennen en te beheersen.
Drie vragen om deze week te beantwoorden
U hoeft de wet niet in een keer te implementeren. Maar u kunt wel deze week drie vragen beantwoorden:
- Valt uw organisatie onder de Cyberbeveiligingswet, en bij welke toezichthouder hoort u te registreren?
- Heeft u een actueel overzicht van uw kritieke systemen en de risicos daarop?
- Kunt u bij een incident binnen 24 uur een melding doen en weet uw bestuur wat er dan van hen wordt verwacht?
Als het antwoord op een van deze vragen "nee" of "weet ik niet" is, dan is dat het vertrekpunt.
De wet is geen eindstreep. Het is een bodem. Organisaties die security structureel hebben ingericht, merken weinig van de invoering. Organisaties die nog moeten beginnen, hebben zes weken.
Waar staat uw organisatie op dit moment?
#cybersecurity #NIS2 #cyberbeveiligingswet #bestuurlijkeaansprakelijkheid #informatiebeveiliging
.png)
