Expert: ‘Accountant kan alleen vanuit zorgplicht kijken naar EU cyberveiligheidsrichtlijn NIS2’

Demissionair minister Dilan Yeşilgöz-Zegerius bevestigde eerder deze week dat de Nederlandse overheid niet op tijd zal voldoen aan de eisen van de cybersecurity richtlijn van de Europese Unie, de NIS2. Dat schrijft de website voor de IT-sector www.AGconnect.com. Dit zou gevolgen kunnen hebben voor bedrijven die aangesloten zijn op de netwerken van de overheid en de controlerende registeraccountants. Reden voor Accountantweek om enkele vragen te stellen aan Security Consultant Mick Zandvliet en Data Privacy Consultant Thom Vroegindeweij van internationaal cyberveiligheidsadviseur en cyberbeveiliger Northwave 

1. Accountantweek: Wat zijn volgens Northwave de belangrijkste redenen dat het de overheid niet lukt om NIS2 tijdig te implementeren? 
Northwave: "De Europese Commissie heeft voor het omzetten van de NIS2 richtlijn naar nationale wetgeving, een implementatiedeadline gesteld op 17 oktober 2024. Het is voor ons geen verrassing dat er uit een brief aan de Tweede Kamer blijkt dat deze deadline door de Nederlandse overheid niet gehaald wordt. Verschillende aangekondigde stappen om tot het wetsvoorstel te komen waren al vertraagd, waaronder een consultatie die oorspronkelijk in de zomer van 2023 aangeboden zou worden en nu voor de zomer van 2024 verwacht wordt. De reden van deze vertraging is niet met zekerheid te zeggen, andere Europese landen lopen namelijk wel op schema; wellicht heeft het te maken met de demissionaire status van het kabinet. De overheid geeft met de vertraging een signaal af dat er andere prioriteiten in de politiek blijken te zijn op dit moment. Dit signaal helpt niet voor de noodzakelijke urgentie die nodig is om de cyberweerbaarheid binnen Nederland en in Europa te verhogen."

2.Accountanweek:  Waarom hebben overheid en bedrijven moeite om aan NIS2 te voldoen?
Northwave: "Wij zien dat het bedrijfsleven in het algemeen te maken krijgt met een toenemende druk aan wet- en regelgeving die elkaar kunnen overlappen; denk daarbij aan NIS2, DORA, CRA, de AI Act en zo voorts. De huidige Europese NIS2 richtlijn geeft daarbij duidelijke kaders mee waar organisaties en overheid aan moeten voldoen en waarmee ze zich kunnen voorbereiden op de komst van nationale wetgeving. Wat NIS2 betreft, bestaat bij organisaties vooral onzekerheid over:

• Het bepalen of een organisatie in de scope valt van de NIS2 of juist daarbuiten;
• Onduidelijkheid over het antwoord op de vraag of buitenlandse vestigingen al te maken hebben met lokale wetgeving;
• De cyberveiligheid bij andere (buitenlandse) belanghebbenden in de keten;
• Dat er nog geen toezichthouder is aangesteld waardoor slechts beperkt informatie beschikbaar is melding van incidenten en de uitvoering van actief toezicht;
• En als gevolg van dit alles de prioritering van het onderwerp NIS2 binnen de organisatie.

Het is daarom van belang dat bedrijven en organisaties, die te maken hebben met deze en overige onzekerheden zich laten adviseren begleiden door experts, hoe om te gaan met onder andere deze NIS2 gerelateerde vraagstukken. Het uitstel van de implementatie van NIS2 bij de Nederlandse overheid, zou naar ons idee geen reden voor uitstel mogen zijn voor het bedrijfsleven. Wacht niet op de nationale wetgeving en handel proactief. De kern elementen van de NIS2 richtlijn zijn voor iedere organisatie namelijk van belang om grip te hebben op informatiebeveiligingsrisico’s en het verhogen van de weerbaarheid van de organisatie."

Experts: "Afhankelijk van de huidige status van de beveiliging van de overheid, worden er mogelijk aanpassingen doorgevoerd in de gevallen waar bedrijven effect van het uitstel ondervinden."

3. Accountantweek: Wat betekent dit voor de registeraccountants die cyberveiligheid moeten controleren en daarover een verklaring moeten aftekenen?
Northwave: "Zolang er nog geen nationale wetgeving van kracht is kunnen registeraccountants alleen vanuit de zorgplicht kijken naar de Europese richtlijn en of Nederlandse klanten hier aan voldoen. Wat er al bekend is dient meegenomen te worden, maar er kan nog geen nationale wetgeving als kader gebruikt worden."

4. Accountantweek: In hoeverre heeft dit gevolgen voor (de cyberveiligheid van) bedrijven die aangesloten zijn op de overheids ITsystemen die onder NIS 2 vallen ?
Northwave: "Vanaf het moment dat de NIS2 op Europees niveau in werking is, moet de Nederlandse Overheid aan de werking van deze Europese richtlijnen voldoen. Via de keten waarin organisaties zich bevinden, zullen ook de NIS2 vereisten opgelegd worden aan leveranciers van de Nederlandse Overheid. Voor partijen die werken met producten van de overheid, voorzien wij op dit moment geen verandering, aangezien de IT systemen van de overheid onder de NIS2 vallen op dat moment en de mogelijke klanten/ gebruikers niet. Afhankelijk van de huidige status van de beveiliging van de overheid, worden er mogelijk aanpassingen doorgevoerd in de gevallen waar bedrijven effect van het uitstel ondervinden. Op dit moment is er al de Baseline Informatiebeveiliging Overheid (BIO); dat is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen, waardoor de verwachte aanpassingen om óók te voldoen aan de NIS2, beperkt zijn."

5. Accountantweek: Welke drie stappen moeten en kunnen bedrijven nemen als de overheid te laat NIS2 proof wordt?
Northwave: "Wacht niet op de overheid, maar onderneem zelf de nodige actie om informatiebeveiliging op het gewenste niveau te krijgen en grip te houden. Daarnaast kunnen organisaties al een aantal stappen ondernemen om specifiek voorbereid te zijn op de implementatie van de NIS2 wetgeving in Nederland. Daarvoor kunnen bedrijven en organisaties enkele stappen doorlopen:

• Voer een assessment uit. Allereerst is het van belang om te bepalen of de organisatie in scope valt van de NIS2, of mogelijk indirect te maken zal krijgen met NIS2 vereisten vanuit de keten. Wanneer uw organisatie in scope blijkt te zijn dan is het raadzaam om een assessment uit te voeren om inzicht te krijgen in de huidige status ten opzichte van de vereisten van de NIS2.
• Implementeer een risico management proces voor informatiebeveiliging. Bijvoorbeeld met behulp van bestaande frameworks als ISO27001 en CIS V8.0. Hiermee wordt verantwoordelijkheid georganiseerd, wordt er periodiek gekeken naar de veranderende (digitale) dreigingen, de potentiële impact op de organisatie, en worden benodigde maatregelen bepaald en bijgestuurd. Denk ook aan leveranciers, waarbij de NIS2 nadruk legt op de keten. NIS2 heeft echter wel aanvullende eisen en gaat op sommige onderdelen ‘dieper’ dan deze frameworks.
• Zorg dat het incident management proces op orde is. Om o.a. (potentiële) incidenten tijdig te detecteren, actie te ondernemen, oorzaak te kunnen achterhalen en melding te maken binnen de gestelde termijn van 24 uur.