Dit zijn de gevolgen van de NIS2 voor de CFO

Tekst: Kim Loohuis

Volgend jaar oktober moet de uitwerking van de nieuwe Europese Network en Information Security-richtlijn (NIS2) zijn beslag krijgen in een Nederlandse wet. De gevolgen van deze wet zijn groot en treffen meer organisaties dan de voorgaande NIS-richtlijn. Niet alleen zijn er financiële implicaties. Ook worden bestuurders persoonlijk aansprakelijk voor de weerbaarheid van de organisatie.

De huidige NIS-richtlijn geldt voor zogenoemde essentiële, of vitale, bedrijven. Door razendsnelle technologische ontwikkelingen is de huidige richtlijn uit 2018 inmiddels al verouderd. Niet iedere Europese lidstaat past deze wet overal gelijk of strikt toe. Daardoor gelden er overal andere regels, dus ook wanneer een organisatie meerdere Europese vestigingen heeft of met andere Europese landen zakendoet. De Europese Commissie wil met de NIS2-Directive één lijn trekken.

Uitbreiding dreigingslandschap

Een andere reden voor de nieuwe wet is het feit dat cybercriminaliteit fors toeneemt. Uit misdaadcijfers van de politie blijkt dat er een opvallende verschuiving te zien is van ‘klassieke misdaden’ naar online criminaliteit.

De uitgebreide NIS2-wetgeving is samengesteld om data zo goed mogelijk te beschermen in een maatschappij die een digitale transformatie ondergaat, waarbij het dreigingslandschap uitbreidt en actoren zich niets aantrekken van landsgrenzen. Dat betekent ook dat méér bedrijven onder de nieuwe wetgeving gaan vallen.

Essentiële en belangrijke entiteiten

In de nieuwe directive wordt onderscheid gemaakt tussen ‘essentiële entiteiten’ (de sectoren energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, levering en distributie van drinkwater, afvalwater, ruimtevaart, overheidsdiensten/openbaar bestuur en digitale infrastructuur) en ‘belangrijke entiteiten’ (de sectoren post- en koeriersdiensten, afvalbeheer, productie en distributie van chemische stoffen, voedingsproductie, -verwerking en -distributie, verwerkende industrie en digitale aanbieders).

Organisaties die als essentiële entiteit worden aangemerkt, moeten in NIS2 aan strengere regels voldoen. Bovendien kijkt de nieuwe wet niet alleen naar opzichzelfstaande entiteiten, maar naar de volledige leveranciersketen, zowel interne al externe leveranciers. 

Bestuur moet securitykennis verwerven

De NIS2-richtlijn stelt eisen aan het bestuur, risicobeheer, bedrijfscontinuïteit en de rapportage van dreigingen en incidenten aan de autoriteiten. Zo moet het management van een organisatie bekend zijn met de eisen van de NIS2 en de inspanningen op het gebied van risicobeheer. Bestuursleden moeten er bovendien op toezien dat regels worden nageleefd. Ze worden straks ook hoofdelijk aansprakelijk wanneer verplichtingen niet worden nageleefd.

Dat betekent dat directie en bestuur van een organisatie over voldoende kennis en vaardigheden moet beschikken om te kunnen inschatten welke gevolgen een cyberincident voor hun organisatie kan hebben. Daarnaast moeten ze concreet inzichtelijk hebben welke securitymaatregelen het bedrijf heeft genomen en of deze voldoen aan de wettelijke verplichtingen. Door het Nationaal Cyber Security Centrum en het Ministerie van Justitie en Veiligheid is een handreiking opgesteld waarin de minimum vereiste maatregelen uiteen worden gezet.

Meldplicht en boetes

Er komt met NIS2 bovendien strenger toezicht op governance. Organisaties die de vereiste maatregelen niet voldoende implementeren, kunnen flinke boetes tegemoetzien. Gebrekkige naleving wordt niet alleen gecontroleerd door toezichthouders, organisaties hebben onder de nieuwe wet- en regelgeving zelf een meldplicht, vergelijkbaar met de meldplicht wanneer er een datalek geconstateerd is. De NIS2-melding moet binnen 24 uur worden gedaan, gevolgd door een eindverslag, uiterlijk een maand later. Niet alleen incidenten moeten worden gemeld, ook dreigingen.

In het geval van non-compliance heeft dit in de toekomst gevolgen voor natuurlijke personen. Wanneer de maatregelen onvoldoende wordt bevonden of de meldplicht wordt geschonden, kunnen boetes worden opgelegd van tenminste 10 miljoen euro of 2 procent van de wereldwijde jaaromzet van de organisatie (afhankelijk van welk bedrag hoger is). Dit maakt cybersecurity niet langer een zaak voor de IT-afdeling, maar een verantwoordelijkheid van het bestuur.

Incident Response Team

Om voldoende kennis van zaken te vergaren, moeten besturen cybersecuritytrainingen gaan volgen, stelt de NIS2. De organisatie moet in kaart brengen hoe de bedrijfscontinuïteit gewaarborgd blijft wanneer het door een groot cyberincident wordt getroffen. Dat omvat bijvoorbeeld het herstellen van systemen, het opstellen van noodprocedures, het opzetten van een crisisorganisatie en het aanstellen van een Incident Reponse Team.

Financiële gevolgen

Voor een CFO heeft de nieuwe wet verstrekkende gevolgen. Niet alleen de financiële implicaties wanneer zich een incident voordoet, of er een boete opgelegd wordt voor niet-compliance, maar ook het in stelling brengen van de organisatie zal forse kosten met zich meebrengen.

De uitvoering van de door de NIS2-richtlijn vereiste maatregelen kan aanzienlijke investeringen in cybersecurity-controles, training en andere middelen vergen. De CFO doet er goed aan om nauw met de CISO (Chief Information Security Officer) samen te werken om inzicht te krijgen in de kosten en baten van deze investeringen – en ervoor zorgen dat de organisatie over het nodige budget beschikt om aan de verplichtingen van de NIS2 te voldoen.

Is jullie organisatie klaar voor NIS2?