‘Brussel’ en ‘Cyber’ zijn veel dichterbij dan je denkt.

Auteur: Kees Verhoeven, Tech-expert, eigenaar van Bureau Digitale Zaken en auteur van het recent verschenen boek ‘De democratie crasht’

We leven in een vergaand gedigitaliseerde wereld waarin technologie de verhoudingen tussen mensen, bedrijven en landen bepaalt. Zo spelen veel internetdiensten in op ons verslavingsgevoelige brein. Zo zijn grote technologiebedrijven tegenwoordig machtiger dan menige overheid. En zo proberen landen als China en Rusland het westen voortdurend aan te vallen via digitale sluiproutes.

Ransomware en DDos

In dit digitale tijdperk krijgt ieder land, elk bedrijf en iedere burger te maken met digitale dreigingen: ransomware-aanvallen waarbij door malware geïnfecteerde computers niet meer toegankelijk zijn en de eigenaar losgeld moet betalen; DDoS-aanvallen waarbij een leger aangestuurd zombie-computers websites platleggen; of cyberspionage waarbij staats- of bedrijfsgeheimen worden gestolen via lekken in het ICT-systeem.

Internet of things

Daar komt bij dat de onderliggende fysieke internetinfrastructuur – bestaande uit zeekabels, internetknooppunten, datacenters en glasvezelnetwerken – cruciaal is voor ons dagelijks leven. Energiecentrales, elektriciteitsnetwerken, verkeerssystemen, ziekenhuizen en het hele betalingsverkeer zijn namelijk allemaal digitaal gegaan en dus onderdeel geworden van het mondiale ‘internet of things’.

Om dit totaal verbonden systeem te beschermen tegen aanvallen van statelijke actoren, cybercriminelen en kwaadwillende hackers, stellen overheden steeds meer eisen aan essentiële en belangrijke diensten die draaien op het internet.

A Europe fit for the digital age’

Veruit de belangrijkste producent van deze regels over cyberveiligheid is de Europese Unie. Onder de noemer ‘A Europe fit for the digital age’ werkt de Europese Commissie aan verordeningen en richtlijnen op verschillende digitale domeinen. Naast wetgeving op het gebied van energie-efficiency, mededinging, online diensten en industriebeleid is er ook een reeks voorstellen die gericht zijn op digitale veiligheid.

Te denken valt onder meer aan de Cyber Cecurity Act (voor één Europees certificeringsraamwerk), de Cyber Resilience Act (voor collectieve EU-veiligheidseisen) en de Digital Operation Resilience Act (voor veilig digitaal betalingsverkeer). Maar op dit moment het meest concreet is de tweede Network and Information Systems directive, oftewel: NIS2. Deze Europese richtlijn draait om een zorgplicht voor de bedrijfsinfrastructuur plus een meldplicht bij cyberincidenten en wordt nog dit jaar omgezet naar nationale wetgeving.

Cybersecurity wordt ‘chefsache’

Belangrijke veranderingen ten opzichte van de huidige NIS1 zijn de uitbreiding van het aantal vitale sectoren (waaronder service providers) en een strenger toezicht op de governance, met hogere boetes bij onvoldoende naleving. In Nederland betekent dit dat zo’n 6.000 nieuwe bedrijven onder de NIS2 gaan vallen en dat de huidige NIS1-bedrijven hun huiswerk opnieuw zullen moeten doen.

Dit alles betekent dat cybersecurity ‘chefsache’ is geworden of beter gezegd: chiefsache. Oftewel: ook de Chief Financial Officer zal zich moeten verdiepen in cybersecurity-compliance en de financiële gevolgen voor zijn organisatie.

Valkuilen CFO

Normaal telt een gewaarschuwd CFO voor twee en dus zou je denken dat de meeste organisaties al ver zijn met de voorbereidingen op het NIS2-tijdperk. Maar helaas, het tegendeel is waar. Wat een aantal jaar geleden gebeurde met de Algemene Verordening Gegevensbescherming (de Europese privacywet AVG) lijkt bij de NIS2-richtlijn opnieuw te gaan gebeuren: teveel bedrijven steken hun kop in het zand en hopen dat het allemaal niet zo’n vaart zal lopen met de aanstormende reguleringstrein.

Een andere valkuil die we maken is onderschatting vanwege het feit dat digitalisering weinig tastbaar is en cyberdreigingen relatief abstract zijn. Bovendien zijn we te optimistisch en denken we dat het ons niet zal overkomen. Deze dat-gebeurt-mij-niet-denkfout maakt dat we te passief zijn in het reageren op risico’s.

In mijn onlangs verschenen boek ‘De democratie crasht’ ga ik veel uitgebreider in op de Europese regelgeving die ons land nadert en de wijze waarop technologie en psychologie op elkaar inspelen. Voor deze gastcolumn beperk ik me tot een belangrijke oproep: Beste CFO, ‘Brussel’ en ‘Cyber’ zijn veel dichterbij dan je denkt! Dus verdiep je in de NIS2, verzet je tegen je bedrieglijke brein, voorkom een hoop gedoe achteraf en vrijwaar je bedrijf van financiële tegenvallers door slechte cybersecurity-compliance.

Veel succes gewenst!