Key2Control > Nieuws > Blogs > Waarom lokale overheden niet moeten wachten met NIS2

Waarom lokale overheden niet moeten wachten met NIS2

22 februari 2024 Blogs, Informatiebeveiliging

Deze 5 risico’s lopen lokale overheden die wachten met de implementatie van de NIS2-richtlijn.   

De aankondiging van de Minister van Veiligheid en Justitie over vertraging van het omzetten van de richtlijn NIS2 naar nationale wetgeving, is geen reden tot achterover leunen. Het is eerder een reden om nu in actie te komen. De noodzaak van cybersecurity blijkt onder meer uit de Cybersecuritymonitor van het CBS. Het ongewenste uitstel veroorzaakt risico’s. Wij benoemen de 5 belangrijkste risico’s en geven praktische tips om nu al aan de slag te gaan met de NIS2.

Door Bart Suers

Dreiging neemt toe, bewustzijn niet 

Lokale overheden zijn steeds vaker doelwit van cyberaanvallen. Hackers proberen gevoelige informatie te stelen, systemen te verlammen of geld te eisen. Dit heeft grote gevolgen voor burgers en bedrijven. Cybercriminaliteit kan een desastreuze impact hebben op het functioneren van de gemeente. De NIS2-richtlijn moet daar écht verandering in brengen. De NIS2-richtlijn (Richtlijn (EU) 2022/2585) beoogt de cybersecurity van essentiële en belangrijke entiteiten te verbeteren en versterken. Het aangekondigde uitstel door de minister levert grote risico’s op voor de overheid in brede zin.

Wij benoemen de concrete risico’s van uitstel van de NIS2 implementatie voor lokale overheden: 

1. Achter de feiten aan blijven lopen verhoogt de kwetsbaarheid 

We zagen het al bij de invoering van de Algemene Verordening Gegevensbescherming, de gewijzigde Wet Politiegegevens (Wpg) en Verordening Politiegegevens. Tussen de invoering en de handhaving (lees: wanneer deze sanctioneerbaar is) van wetgeving, is altijd een implementatieperiode. Terecht toch? Niet perse. Ervaring leert ons dat die periode van een zachte landing ook zorgt voor een gebrek aan urgentie. Veel lokale overheden waren in 2018 niet klaar met de implementatie van de AVG en bij de Wpg moest zelfs de VNG voor gemeenten uitstel vragen voor de verplichte externe audit binnen twee jaar. Zolang de wet niet gehandhaafd is, is het spreekwoordelijke beton niet uitgehard. Het beton is echter wel al gestort: NIS2 biedt een voorspelbaar beeld van de maatregelen. De NIS2 is namelijk Europees vastgesteld en vertaald naar het Nederlands. De interpretatie biedt dus voldoende perspectief om niet af te wachten met het zetten van de eerste stappen. Ga nu aan de slag met NIS2, verlaag de kwetsbaarheid van je organisatie en voorkom boetes.   

2. Beveiligingsmaatregelen niet langer vrijblijvend

De NIS2-richtlijn maakt veel bestaande maatregelen concreter. Maar de richtlijn neemt vooral de vrijblijvendheid weg. De NIS2 richt zich namelijk ook op ransomware-aanvallen, datalekken, Distributed Denial-of-Service (DDOS) aanvallen en geavanceerde aanhoudende bedreigingen (APT’s). Daarvoor zijn al veel preventie, preoperatieve en correctieve maatregelen bedacht en uitgevoerd in bestaande wet- en regelgeving. De NIS2 stelt strengere eisen aan de beveiligingsmaatregelen.
Genoemd worden:

  • Uitvoeren van risicobeoordelingen
  • Opstellen van een risicobeheersplan
  • Implementeren van passende technische en organisatorische beveiligingsmaatregelen
  • Incidentenbeheer en
  • Respons op cyberaanvallen
  • Gebruik van encryptie en andere beveiligingstechnologieën

Dat is niet nieuw, kijk naar de BIO/ISO27001, maar omdat de NIS2 strengere eisen stelt aan de beveiligingsmaatregelen moet je in actie komen. Wacht dus niet af en verbeter de cybersecurity van jouw organisatie.    

3. Meer sanctiemogelijkheden vergroten de kans op boetes

Nieuw aan de NIS2 is vooral de vorm van aanscherping en het wegnemen van vrijblijvendheid door het aanwijzen van verantwoordelijkheid. Het toezicht en de handhaving worden verscherpt. Meer sanctiemogelijkheden, oftewel boetes, zijn hiervan het gevolg. Inspanningsplicht wordt dus resultaatplicht. De verplichte meldplicht voor cyberincidenten wordt vertaald in een cyberincidentenregister. Verder vervalt de vrijblijvendheid als het gaat om het uitvoeren van penetratietesten en het aantoonbaar trainen van medewerkers. En tenslotte is ook het verplicht opstellen van een crisiscommunicatieplan een aantoonbare resultaatverplichting. De Key2Control software helpt jouw organisatie om de resultaatverplichting aan te tonen.  

4. Toeleveringsketen onvoldoende in beeld 

Lokale overheden worden door de NIS2 verantwoordelijk voor de beveiliging van hun toeleveringsketens. Dit betekent dat ze ook de risico’s van hun leveranciers en partners moeten beoordelen. De toeleveringsketen is op dit moment deels in beeld gebracht door o.a. verwerkersovereenkomsten, SLA’s, XLA’s en DAB’s. Daarin liggen al veel afspraken vast. Op basis van deze afspraken kunnen concrete toeleveringsketenrisicos nu al verder gespecificeerd worden.  

5. Te weinig urgentiebesef cyberdreigingen  

Daar is ie weer: de mensfactor.  Fouten van medewerkers, zoals het klikken op phishing-links of het gebruik van zwakke wachtwoorden, kunnen leiden tot ernstige cyberincidenten. Om hier aandacht op te (blijven) vestigen is het dus zeker niet aan te raden om te wachten op de implementatie van NIS2. Bewustwording is een kwestie van onderhouden van het urgentiebesef. Daar kun je vandaag aan verder bouwen.  

Conclusie

De NIS2-richtlijn is een belangrijke stap voorwaarts in de versterking van de cyberbeveiliging. Maar de conclusie is ook dat NIS2 vooral strengere eisen stelt aan bestaande maatregelen. Dat betekent dat je niet hoeft af te wachten totdat de wetgeving rond is. Ga nu aan de slag met de NIS2, verbeter de cybersecurity van je organisatie en voorkom tijdnood of boetes bij de daadwerkelijke handhaving van de wetgeving. Maar vooral: bescherm je organisatie zo snel mogelijk en zo goed mogelijk tegen cyberaanvallen.

Wees niet huiverig voor interpretatierisico’s
Omdat de NIS2 richtlijn Europees is opgesteld bestaat het risico op incompatibiliteit met Nederlandse wetgeving. De interpretatie zal op nationaal niveau tussen alle lidstaten vrijwel zeker leiden tot inconsistenties en interpretatieverschillen, dat heeft de GDPR ons inmiddels geleerd. Maar is dat echt zo erg? De nieuwe ISO27001/2022 biedt in dat kader een praktisch handvat omdat deze norm al een interpretatie bevat van de NIS2. Geen reden dus om te wachten op invoering van de NIS2.  

Eenvoudig grip op cybersecurity met Key2Control

De Key2Control software helpt je bij het uitvoeren van de juiste stappen om de cyberbeveiliging van jouw organisatie te verbeteren. In de software breng je alle risico’s en kwaliteitseisen overzichtelijk samen op één plek. Dankzij dit overzicht kun je onderbouwde keuzes maken om risico’s te mitigeren en de uitvoeringskwaliteit te verbeteren. Verbetermaatregelen worden concreet, planbaar en begrijpelijk voor de hele organisatie.

Meer weten? 

Ben je benieuwd wat de Key2Control software kan betekenen voor jouw organisatie? Vraag een demo aan. Tijdens een demo van 45 minuten laten we de concrete werkwijze en meerwaarde van de software zien. We beantwoorden al jouw vragen en denken graag mee over de beste aanpak voor jouw organisatie.  

Key2Control helpt lokale overheden al 10 jaar bij het opzetten, beheersen, verbeteren en verantwoorden van een integrale interne beheersingsaanpak. Heb je interesse of wil je meer weten over (de werkwijze van) Key2Control? Neem zeker contact met ons op.  

Tags:

Dit vind je misschien ook interessant