De Network and Information Systems Directive (NIS2) is een Europese richtlijn die gericht is op het verbeteren van de cyberbeveiliging binnen de Europese Unie. Deze richtlijn heeft verstrekkende gevolgen voor verschillende lagen binnen een organisatie, van de directie en het bestuur tot de medewerkers en de bredere leveranciersketen. Algemeen denken velen dat cybersecurity een aangelegenheid is van de IT-afdeling. Dat is onder de NIS2 zeker niet meer het geval. Directie, medewerkers en leveranciers krijgen met NIS2 te maken en dat brengt dus meer afdelingen in beweging, Management, HR, inkoop en Legal moeten allemaal worden betrokken.
Directie en bestuur zijn aansprakelijkheid en verantwoordelijkheid. Dat feit is één van de meest significante veranderingen die NIS2 met zich meebrengt. Onder NIS2 zijn zij verantwoordelijk voor het naleven van de nieuwe beveiligingsmaatregelen en kunnen zij persoonlijk aansprakelijk worden gesteld bij ernstige inbreuken op de cyberbeveiliging.
Directieleden en bestuursleden moeten aantonen dat zij proactief en effectief toezicht houden op de implementatie van cyberbeveiligingsmaatregelen. Dit betekent dat zij niet alleen op de hoogte moeten zijn van de huidige bedreigingen en risico’s, maar ook actief moeten deelnemen aan de strategische beslissingen over cyberbeveiliging. NIS2 legt strengere sancties op voor non-compliance. Dit kan variëren van boetes tot juridische stappen tegen individuen binnen de directie en het bestuur.
Medewerkers worden vaak gezien als de zwakste schakel in de keten van cyberbeveiliging. Onder NIS2 is er een verhoogde focus op het trainen en bewustmaken van personeel om cyberdreigingen te herkennen en te mitigeren. Regelmatige training en educatie zijn essentieel. Medewerkers moeten worden getraind in het herkennen van phishing-aanvallen, het veilig omgaan met wachtwoorden en het volgen van best practices voor informatiebeveiliging.
De leveranciersketen is een onderschat element in de NIS2. De toename van aanvallen via de leveranciersketen is een groeiend probleem. Organisaties moeten niet alleen hun eigen beveiliging op orde hebben, maar ook die van hun leveranciers en partners. Steeds meer bedrijven voeren grondige risicoanalyses uit van de gehele leveranciersketen. Maar ze onderschatten de hoeveelheid werk om alle leveranciers geïnformeerd en aan het werk te krijgen.
Bedrijven pakken niet alleen IT-gerelateerde risico’s aan, maar nemen ook grondstoffenrisico’s in overweging. Dit is niet verplicht onder de NIS2 regels maar een gevolg van de betrokkenheid van directies in risico-inventarisaties, daardoor kijkt men naar nu naar alle risico’s, als onderdeel van het complete gewone leveranciersmanagement. Ze willen voorkomen dat hun eigen bedrijf stil komt te liggen als een belangrijke, moeilijk vervangbare, leverancier wordt gehackt. Ook omvat het evalueren van risico’s die voortvloeien uit de toegang van onderhouds- en reparatiepersoneel van leveranciers.
Veel grote bedrijven hanteren een minimum cyberhygiëne voor al hun leveranciers. Dit betekent dat alle leveranciers moeten voldoen aan bepaalde basisvereisten op het gebied van cyberbeveiliging. Dit soort maatregelen zien we nu ook opduiken bij alle bedrijven in de keten vanwege het cascade effect. Organisaties moeten duidelijke contractuele verplichtingen vastleggen met hun leveranciers met betrekking tot cyberbeveiliging. Dit kan inhouden dat leveranciers voldoen aan specifieke beveiligingsnormen zoals een ISO27001 of een NIS2 Quality Mark.
Conclusie
NIS2 brengt significante veranderingen met zich mee die diepgaande impact hebben op de directie, bestuur, medewerkers en de bredere leveranciersketen van organisaties. De verhoogde aansprakelijkheid en verantwoordelijkheid voor de directie en het bestuur benadrukken het belang van een proactieve benadering van cyberbeveiliging. Tegelijkertijd benadrukt de focus op medewerkers en de leveranciersketen de noodzaak van een holistische benadering van beveiliging, waarbij alle aspecten van de organisatie betrokken zijn.
Organisaties moeten daarom investeren in uitgebreide trainingsprogramma’s, robuuste beveiligingsmaatregelen en duidelijke contractuele afspraken met leveranciers om aan de eisen van NIS2 te voldoen en de risico’s van cyberaanvallen te minimaliseren. Alleen door een gezamenlijke en goed gecoördineerde inspanning kunnen de uitdagingen van de huidige cyberdreigingen effectief worden aangepakt.