E-mailbeveiliging

Vinkjes zetten wordt werking checken

NIS2 komt eraan, een richtlijn voor informatiebeveiliging die ook voor gemeenten gaat gelden. Reden tot zorg? Ja en nee.

De laatste tijd spreek ik op onze regiosessies met gemeenten over NIS2. Doel van deze richtlijn, die uiterlijk eind 2024 moet zijn omgezet in nationale wetgeving, is om het cyberweerbaarheidsniveau binnen de Europese Unie te verhogen. Als ik het heb over NIS2 dan kijken veel mensen mij glazig aan, maar als ik vertel over de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni), dan wordt het duidelijker. Die wet is bekend en is de Nederlandse vertaling van NIS1. NIS2 is de opvolger van NIS1.

NIS1 geldt voor organisaties die essentiële diensten leveren en dat worden er met NIS2 een stuk meer. Gemeenten vallen er straks ook onder. Voor al deze organisaties geldt dan een meldplicht en een zorgplicht. Dat is een heel belangrijke verandering, die gemeenten best spannend vinden, merk ik. Is dat terecht? Deels niet, maar deels ook wel. Om met het goede nieuws te beginnen: als je voldoet aan de eisen van de BIO, wat elke gemeente zou moeten, dan hoef je je niet veel zorgen te maken over NIS2. De maatregelen die gemeenten straks volgens de richtlijn moeten nemen, sluiten aan op wat er in de BIO staat.

Maar ik zie wel een fundamenteel verschil tussen wat de BIO en NIS2 van gemeenten vragen. De BIO toetst op het bestaan van maatregelen die je hebt genomen en kijkt of de plannen worden uitgevoerd. NIS2 wordt nog in nationale wetgeving vertaald, daarom is het nu nog niet mogelijk om precies uiteen te zetten wat deze wet van gemeenten zal vragen. Het lijkt er echter sterk op dat NIS2 meer belang toe zal kennen aan de werking van de plannen die organisaties maken voor informatieveiligheid. Ik zeg daarom wel eens oneerbiedig dat het zetten van vinkjes straks niet meer genoeg is. Je moet gaan aantonen dat je beleid echt werkt. De sancties liegen er bovendien niet om. Een nog nader te bepalen toezichthouder kan hoge boetes uitdelen, zoals al gebeurt voor de AVG. Bestuurders kunnen zelfs persoonlijk aansprakelijk worden gesteld.

Mijn boodschap aan gemeenten is gezien dit alles dan ook tweeledig. Een: als je voldoet aan de BIO, dan ben je goed op weg om te voldoen aan nieuwe richtlijn. Twee: Zorg er wel voor dat je zelf de werking van je maatregelen toetst. Doe steekproeven in je eigen organisatie, zodat je problemen kunt oplossen voordat je er door een toezichthouder op gewezen wordt.

En dan is er nog iets anders dat gemeenten alvast kunnen doen, in samenwerking met leveranciers en de Informatiebeveiligingsdienst (IBD). Organisaties die onder NIS2 vallen, zullen hun directe toeleveringsketen in kaart moeten brengen om de risico’s die ze lopen inzichtelijk te maken en het liefst ook te verkleinen. Vaak worden hiervoor zelf opgestelde vragenlijsten gebruikt. Het zou zowel gemeenten als leveranciers veel tijd schelen als gemeenten hier een standaard voor afspreken. Zoals ze ook hebben gedaan met de verwerkersovereenkomst. Dan kunnen we allemaal, gemeenten en leveranciers, onze tijd zoveel mogelijk besteden aan het nemen van maatregelen conform de BIO en aan het daadwerkelijk toetsen van de werking daarvan. Zodat we zijn voorbereid op NIS2.

Nils Hoole, Privacy & Security Officer bij Centric.