Den Haag, 13 augustus 2024 – Terwijl de deadline voor de NIS2-richtlijn steeds dichterbij komt, blijkt dat veel IT-teams in Nederland moeite hebben om het belang van deze wetgeving duidelijk over te brengen aan hun CEO’s. Dit is zorgwekkend, aangezien er binnen de NIS2-richtlijn meerdere aspecten zijn die direct betrekking hebben op de verantwoordelijkheden van de CEO.
De NIS2-richtlijn, die in Europa in 2024 van kracht wordt (in Nederland is de implementatie van de wet vertraagd tot het tweede kwartaal van 2025), is een uitbreiding op de oorspronkelijke NIS (Netwerk- en Informatiebeveiligingsrichtlijn) en legt strengere eisen op aan bedrijven op het gebied van cybersecurity. De nadruk ligt hierbij niet alleen op technologische maatregelen, maar ook op organisatorische verantwoordelijkheid en risicobeheer. Dit betekent dat de rol van de CEO cruciaal is voor een succesvolle implementatie.
Communicatiekloof tussen IT en directie
Uit vragen van IT-professionals aan de supportdesk van SDV blijkt echter dat er een aanzienlijke kloof bestaat tussen de technische expertise van de IT-afdeling en het strategisch inzicht van de directie. Veel CEO’s zijn zich onvoldoende bewust van hun rol in het naleven van NIS2, waardoor de implementatie van de noodzakelijke maatregelen binnen bedrijven stagneert.
Een IT-manager van een middelgroot bedrijf in Rotterdam, die anoniem wenst te blijven, geeft aan: “De NIS2-richtlijn vereist niet alleen dat we onze systemen beschermen, maar ook dat we als organisatie kunnen aantonen dat we voldoende risicobeheer hebben toegepast. Dit vereist een nauwe samenwerking tussen de IT-afdeling, directie, HR, Inkoop en Legal maar helaas is onze CEO weinig betrokken.”
CEO-verantwoordelijkheden onder NIS2
Onder NIS2 wordt expliciet vermeld dat de directie, en met name de CEO, verantwoordelijk is voor het waarborgen van de naleving van de wetgeving. Dit omvat niet alleen het goedkeuren van budgetten voor cybersecuritymaatregelen, maar ook het actief betrekken bij het strategisch risicobeheer en het opzetten van een cultuur van veiligheid binnen de organisatie. Ook opleiding en het breed uitrollen van organisatie veiligheidsprocedures zijn onderdeel.
De Europese Commissie heeft benadrukt dat het falen van bedrijven om te voldoen aan NIS2 kan leiden tot zware boetes en reputatieschade. Dit maakt de betrokkenheid van de CEO niet alleen een wettelijke vereiste, maar ook een strategische noodzaak.
De weg vooruit
Om deze uitdaging het hoofd te bieden, is een betere communicatie en samenwerking tussen IT-teams en de directie essentieel. IT-managers zouden moeten overwegen om cybersecurity permanent op de strategie agenda te plaatsen en om zo te benadrukken hoe het naleven van NIS2 niet alleen een juridische verplichting is, maar ook een competitief voordeel kan opleveren.
Een succesvolle implementatie van NIS2 begint bij de top. Het is daarom van cruciaal belang dat CEO’s hun rol in deze wetgeving serieus nemen en actief betrokken zijn bij de processen die nodig zijn om de organisatie te beveiligen tegen steeds geavanceerdere cyberdreigingen.
Door gezamenlijk verantwoordelijkheid te nemen, kunnen bedrijven niet alleen voldoen aan de NIS2-eisen, maar ook hun weerbaarheid tegen cyberaanvallen aanzienlijk vergroten.