Stelling 1: NIS2 zal onze wereld een stuk veiliger maken
Henk Bijsterbosch, verantwoordelijk voor alle kennispartners bij het platform Samen Digitaal Veilig, reageert als eerste. “In Nederland zijn er meer dan 200.000 bedrijven die meer dan drie werknemers hebben. Als die bedrijven dankzij de wet straks tot een basisniveau aan security komen dan zorgt NIS2 ervoor dat het volwassenheidsniveau van, zoals dat heet, de BV Nederland een enorme stap in de goede richting maakt.”
Thimo Keizer, consultant bij RisicoRegisseurs, reageert op de uitleg van Bijsterbosch met een vraag. “Als je kijkt naar NIS2, dan hebben we het daar over essentiële en belangrijke entiteiten. Die ondernemer met drie man zal vaak geen belangrijke entiteit zijn. Maakt Samen Digitaal Veilig daar nog onderscheid in vanuit het platform?”
Bijsterbosch antwoordt dat de NIS2-compliancy waarschijnlijk in de keten verder naar beneden wordt gebracht, beginnend bij de grote essentiële en belangrijke bedrijven. “Dus hoe klein je ook bent: haast iedereen krijgt ermee te maken.”
Gezien de achtergrond van André Hiddink bij Rittal volgt uit zijn mond dan ook de vraag of Samen Digitaal Veilig kijkt naar de fysieke omgeving en de beveiliging daarvan. “Die twee kun je niet los zien van elkaar,” reageert Bijsterbosch. “Als iedereen gewoon de serverruimte binnen kan lopen is de situatie er beslist niet veilig.”
Mikael Engels, interim IT Manager bij Reliables, keert terug naar de stelling dat NIS2 onze wereld veiliger maakt. “Ja, antwoord ik daarop. En ik denk dat het ook het verdienmodel van Nederland beschermt, en onze innovatieve bedrijven.” De vraag komt op of Engels bij het bezoek aan bedrijven ook aandacht schenkt aan fysieke beveiliging van, bijvoorbeeld, die serverruimte. “Dat is natuurlijk een thema. Zeker bij kleinere organisaties wordt die ruimte nogal eens als opslag gebruikt.”
Opnieuw stelt Keizer een vraag. “Zie je in de praktijk dat die fysieke risico’s afnemen nu we meer in de cloud werken?” Engels ziet zeker een verschuiving. “Maar we doen niet alles in de cloud, je zult je netwerk-kerninfrastructuur moeten blijven beschermen.”
Keizer geeft zelf een andere reactie op de stelling. “NIS2 is voor veel ondernemers te vaag en te algemeen om de wereld echt veiliger te maken. Het kan ook nog eens zorgen voor een zekere schijnveiligheid, als we NIS2 reduceren tot een te simpel afvinklijstje. Dan halen we doel en middel door elkaar.”
Bijsterbosch (Samen Digitaal Veilig) vraagt zich af wat er mis is met een afvinklijstje. “Als dat ertoe leidt dat er eindelijk interesse voor het onderwerp is ontstaan waardoor mensen ermee bezig gaan. Zeker bij kleinere bedrijven is dan al veel te winnen.” Dat punt wordt algemeen erkend aan tafel, waarbij de maatregelen die bijvoorbeeld ISO 27001 stelt wel heel concreet zijn, en NIS2 juist geen concrete doelen stelt. Keizer (RisicoRegisseurs): “Je hoeft die ISO certificering niet te halen, maar kunt wel een aantal van de basisstappen zetten.”
Bert Duijndam van Stichting Security Expert Register Nederland: “We praten nu over een afvinklijstje. In de post-HBO-opleiding voor DHM Security Management hebben we zo’n afvinklijstje en die noemen we de globale security-check. Hiermee neem je vlot, in vijf minuten, verschillende vragen door: wat heb ik als ondernemer gedaan? Waar ligt mijn verantwoordelijkheid? Wat moet ik doen? Dus een afvinklijstje kan heel goed zijn.” Dat staat echter voor hem los van NIS2. “Zoals de richtlijn nu is opgesteld is zo’n afvinklijstje er niet. Het ontbreekt aan coherentie met de CER richtlijn en aan een referentiekader.” Er is geen ‘Security als Proces’, zoals DHM Security Management daar beeldvorming aan geeft.
En áls er al een afvinklijstje is, dan zal NIS2 niet echt zorgen voor meer aandacht voor fysieke security, vermoedt Hiddink (Rittal). “De fysieke omgeving wordt een keer of negen genoemd, maar is net zo weinig concreet als de rest van de conceptwet.” Toch onderkent hij de intentie van NIS2: “de bedoeling is wel degelijk de wereld veiliger te maken, maar daar zullen zeker de kleinere bedrijven IT-partners en consultants bij nodig hebben.”
Bekijk hieronder het videoverslag van het Grotetafelgesprek:
Stelling 2: Op 17 oktober zou NIS2 ingaan, Nederland haalde dat niet. Wat is de consequentie?
Bijsterbosch (Samen Digital Veilig) weet uit ervaring wat de consequenties zijn. “We overleggen met 83 branches die meedoen aan ons platform en die in totaal 140.000 bedrijven representeren.” Hij weet dat brancheverenigingen bij elke nieuwe wet of regel duidelijkheid willen. “Als ze een concrete datum hebben dan gaan ondernemers plannen, en budget en mensen alloceren.” De verenigingen spelen een belangrijke rol bij deze processen. “Wij zorgen ervoor dat die verenigingen de nodige informatie krijgen in begrijpelijke taal.”
Al lang was duidelijk dat Nederland ver achter liep op de planning. “Wij communiceren al langere tijd 1 juli 2025 als meest waarschijnlijke ingangsdatum. Dat betekent dat ondernemers nu hun planning gaan voorbereiden. De essentie is wel dat de overheid snel met een definitieve datum komt.”
Een actuele uitdaging is echter dat een aantal Europese landen wel op tijd is met de wetgeving. “Dus bedrijven in die landen komen nu met eisen naar onze mkb’ers.” Duijndam (Security Expert Register Nederland) onderschrijft dit. “Kijk naar België, waar toch ook veel Nederlandse ondernemers zaken mee doen. Dat land heeft NIS2 al in een wet aangenomen.”
Stelling 3: NIS2 geeft onvoldoende specifieke aandacht aan fysieke beveiliging
Hiddink vraag zich af wat het effect is als elk land een eigen invulling geeft aan NIS2.
Mikael Engels (Reliables) wijst erop dat dit niet alleen het geval is bij NIS2, maar ook bij de Europese richtlijn GDPR die bij ons AVG heet. “De Duitsers hebben de DSGVO, dat is de strengste van Europa. En dan zie je dat veel bedrijven zich richten naar die strengste versie.” Dit herkent Hiddink – hij werkt immers voor een Duitse firma. “Dat betekent dat men ofwel inderdaad de strengste volgt, of continu moet nagaan welke regels overlappen en welke niet.” Duijndam is het daarmee eens. “Elk land mag een invulling geven, wat ertoe kan leiden dat wie internationaal zaken doet de regels met elkaar moet vergelijken.”
Dat is in grote lijnen ook wat Samen Digitaal Veilig doet, vertelt Bijsterbosch. “We hebben de richtlijn gepakt die in 2022 is uitgevaardigd door Europa. Daarvan hebben we een vertaalslag gemaakt naar bepaalde normeringen die er al zijn. Voor zover mogelijk, natuurlijk: we weten immers nog niet alles.”
Veel bedrijven richten zich naar de strengste versie
Mikael Engels (Reliables) vraagt zich af of dat zo erg is. “Een heleboel van de zaken die in de richtlijn staan, zijn voor IT’ers eigenlijk common sense om te doen.” Hij denkt aan MFA, back-ups en patchen. “Dat is toch gewoon normale dagelijkse praktijk, dat hoort bij het werk. Dus als je daar alvast mee begint hebben we al veel gewonnen tot 1 juli, als de wet dan in zou gaan…”
“…met een overgangstermijn, want zo loopt het altijd,” vult Duijndam namens Stichting Security Expert Register Nederland aan.
Keizer (RisicoRegisseurs) knikt bevestigend. “Wat je net common sense noemde is in feite Good Governance risicomanagement. Gewoon maatregelen nemen en toezicht houden. Heb je basis op orde. Dan voorkom je al veel ellende.”
Stelling 4: NIS2 legt de verantwoordelijkheid te veel bij de leverancier neer
Hiddink (Rittal) licht de stelling toe met een praktijkvoorbeeld. “Op het moment dat jij IT-apparatuur levert, of dit nu actieve apparatuur betreft, of fysieke apparatuur, bijvoorbeeld een device voor toegangscontrole, dan maakt software daar deel van uit.” Het schrijven en testen van die software is een taak van de leverancier, die ook verantwoordelijk is voor bug-fixing en updates. “De leverancier moet zijn installed base op orde hebben, of in elk geval in staat zijn de eindklanten te informeren. Proactief te benaderen.”
In feite, zegt Mikael Engel (Reliables), is dat een vorm van leveranciersmanagement. “Klanten kijken dus ook zo naar leveranciers: wie neemt zijn verantwoordelijkheid en wie niet? Met die laatstgenoemde partijen wil men dan al snel geen zaken meer doen. Dat is een vorm van marktwerking.”
Volgens Keizer (RisicoRegisseurs) staat dit aspect los van NIS2, maar is het inderdaad vooral leveranciersmanagement.
Stelling 5: NIS2 geeft onvoldoende specifieke aandacht aan fysieke beveiliging
Fysieke beveiliging is een belangrijk onderwerp voor Hiddink van Rittal, dat immers fysieke oplossingen voor onder meer serverruimtes levert. “Op het moment dat er een richtlijn of wet komt, zoals NIS2, dan hoop ik dat erin staat waaraan men moet voldoen.” Hiddink heeft het idee dat het nu te vrijblijvend is: “We hebben toch behoefte aan houvast.”
De consequentie is dat je volgens hem afhankelijk wordt van derde partijen die jou als ondernemer bij de hand nemen en het beleid positioneren naar wat de gemiddelde veiligheidscriteria zijn voor die branche. “Dat geldt overigens voor zowel fysieke als cybersecurity: het zijn allemaal onderwerpen waar mensen een beetje van weg willen blijven, want het is ingewikkeld en het is geen onderdeel van lekker ondernemen.”
Duijndam valt hem bij en stelt dat de tekst van NIS2 in veel opzichten ondoorzichtelijk is. “Het is lastig opgeschreven en je moet goed vakinhoudelijk op de hoogte zijn met alle ins en outs van de overheid. Daarom heeft SERN voor zowel de NIS2 als CER richtlijnen, en voor de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten de inhoudsopgaven gemaakt. Zo is er meer structuur. En voor wat betreft wetgeving, security, juridica…dat is nog een flinke klus. Vandaar mijn punt. Nogmaals, er is geen sprake van coherente aanpak tussen NIS2 en CER. En dat is wel de opdracht die in de NIS2-richtlijn staat.”
Hij wijst er op dat als je met de zoekfunctie de aanduiding CER “EU 2022/2557” intikt bij de NIS2, dat je dan wel veel verwijzingen naar fysieke beveiliging in de CER richtlijn ziet. “Dus impliciet geeft NIS2 voldoende aandacht aan fysieke beveiliging, maar je moet het wel blootleggen.”
Stelling 6: Ketenverantwoordelijkheid is het doorschuiven van verantwoordelijkheid in de keten
Praktisch gezegd: Rittal levert onder andere intelligente componenten voor het beveiligen van IT-racks, en via verschillende stappen in de supply chain wordt die oplossing uiteindelijk gebruikt door een eindgebruiker. Hoe beweegt de verantwoordelijkheid zich door de keten?
Hiddink gaat erop in: “We weten als fabrikant gewoon niet waar de producten terecht komen. Iedereen kan hier, of in het buitenland onze oplossingen kopen.” Bij de productie voldoet het aan richtlijnen en normeringen. “Vervolgens gaat het de keten in en die eerdergenoemde oplossing komt dan bijvoorbeeld bij een kritische entiteit terecht. En dan gaat er in een keer een ketenverantwoordelijkheid spelen die dan onderdeel wordt van de oplossing van de fabrikant. Hoe werkt dat, zeker, zoals we al bespraken, gezien mijn vestiging in Nederland onderdeel is van een Duits bedrijf.”
Keizer (RisicoRegisseurs) vraagt zich of die ketenverantwoordelijkheid zich niet veel meer richt op diensten, of in het geval van software, updates. “Rittal levert iets en als iemand dat ding op z’n kop installeert dan is dat niet de verantwoordelijkheid van Rittal.”
Duijndam (Stichting Security Expert Register Nederland) stelt dat die verantwoordelijkheid dan ook niet per se bij de eindgebruiker ligt, als een reseller als installateur optrad. Er is dan dus sprake van gedeelde verantwoordelijkheid.
Toch vermoedt Hiddink dat de eindgebruiker lijnen moet gaan uitzetten naar al zijn leveranciers. “Dat is nogal wat, daar heb je een complete afdeling voor nodig.”
Duijndam stelt dat de wet schrijft dat partijen datgene moeten doen wat redelijkerwijs noodzakelijk te achten is. “Er zijn dus zaken die een eindgebruiker niet rechtstreeks bij een fabrikant kan eisen.”
Bijsterbosch brengt de vraag nog eens in kaart. “Rittal maakt een product, dat gaat naar een distributeur en die levert het aan een IT-dienstverlener in Groningen. Die laatste installeert het als onderdeel van een grotere oplossing bijvoorbeeld bij de Universiteit in die stad. Hiddink bevestigt dit. “En mijn vraag is: hoever gaat de verantwoordelijkheid van die Universiteit voor de keten die NIS2 noemt?”
Mikael Engels (Reliables) krijgt die vraag vaak van eindgebruikers. “Wat we dan meestal afspreken is dat wij met die aanbieder, dus die IT-partner, een afspraak maken dat zij hun eigen leveranciers managen. Dit om te voorkomen dat je een eindeloze reeks krijgt. “Anders moet Universiteit Groningen tot de schroefjesfabriek gaan die producten aan Rittal levert.”
IT-partners moeten hun eigen leveranciers managen
Duijndam (Stichting Security Expert Register Nederland) legt zijn vinger nog eens op de richtlijn. “In de richtlijn staat nu inderdaad dat je redelijkerwijs moet kijken, maar ook naar de keten achter jouw aanbieder als je daar grip op hebt.”
Waarop Hiddink (Rittal) terugkeert naar een eerder onderwerp in de discussie: dat je dan als leverancier echt heel precies moet weten waar en in welke configuratie jouw producten bij eindgebruikers terecht komen. Engels: “Het is niet zo dat Rijksuniversiteit Groningen hier een audit komt doen. Maar ze kunnen wel een audit doen bij de IT-dienstverlener en kijken of die de boel op orde heeft.”
Keizer (RisicoRegisseurs) maakt de vergelijking met de AVG, waar verwerkers en een keten van soms meerdere subverwerkers van, bijvoorbeeld, persoonsgegevens aan onderworpen zijn. “De bovenste partij spreekt die eronder aan en zo verder in de keten. En uiteindelijk ga je dus met elkaar afspreken van oké, dit zijn mijn eindgebruikerseisen. Die gaat naar een installateur of naar allerlei partijen.” Volgens Bijsterbosch is dat de kern van wat NIS2 voorschrijft. “Het gaat er straks om dat je een soort verwerkingsovereenkomst doorgeeft in de keten. En dat je verantwoordelijkheden afdicht in subcontracten.”
Dit is ook wat Samen Digitaal Veilig doet. “We willen brancheverenigingen en leden op weg helpen. Dus wij hebben met een afvaardiging van de NEVI, de Nederlandse Vereniging van Inkopers, en verschillende juristen bij elkaar gezeten en een aantal inkoopvoorwaarden opgesteld die partijen als addendum kunnen toevoegen aan bestaande contracten. En waarin je dus eigenlijk al een aantal NIS2 elementen juridisch dekt.”
Afsluiting
Samenvattend vindt Bijsterbosch de invoering van NIS2 een goede stap. “De eerste versie van NIS gold alleen maar voor een klein aantal essentiële entiteiten. Energie, water, ziekenhuizen, et cetera.” Het feit dat we nu met z’n allen in de markt aan het praten zijn over security noemt Bijsterbosch (Samen Digitaal Veilig) een grote vooruitgang. “Cybercriminaliteit als industrie is geëxplodeerd. En de grootste trend die zich afgelopen jaar heeft afgespeeld, is dat het allemaal via de supply chain gebeurt.” Voorheen kwamen cybercriminelen via de voordeur binnen. Dat werd echter steeds moeilijker en geavanceerder. “Maar nu proberen ze via allerlei achterdeurtjes binnen te komen, lees: de supply chain. En dat onderkent NIS2 en schenkt er aandacht aan.”
De heren aan tafel zien wat dat betreft een herhaling van de invoering van de AVG: die zorgde ook voor veel meer bewustwording als het gaat om privacy en het veilig delen van data. Duijndam (Stichting Security Expert Register Nederland): “AVG is inderdaad uitgegroeid tot een kernbegrip in onze maatschappij. Dus iedereen is ervan op de hoogte.”
De beginselen van behoorlijk bestuur gelden ook bij NIS2
Uiteindelijk gaat het, net als bij de AVG om de naleving van NIS2. Duijndam (Security Expert Register Nederland): “Gaan de toezichthouderes invulling geven aan het toezicht en de handhaving volgens de indertijd opgestelde Nalevingsstrategie (NLS)? Nu geeft de NIS2 aan dat toezichthouders gehouden zijn informatie te verstrekken en opleidingen te geven.” Uiteindelijk zal het geheel qua organisatie (systeemverantwoordelijkheid van de overheid) ABBB-proof moeten zijn, dus conform de Algemene Beginselen van Behoorlijk Bestuur.
Keizer (RisicoRegisseurs) vraag zich af of het feit dat door NIS2 eisen door de hele keten worden opgelegd er uiteindelijk toe kan leiden dat kleine ondernemingen en zzp’ers die dit niet kunnen bolwerken uiteindelijk zullen verdwijnen. De conclusie aan tafel is, dat NIS2 in dat opzicht tot een consolidatie kan leiden.
Duijndam (Security Expert Register Nederland) biedt aan om over de coherente aanpak van NIS2 en CER een tweede Dermatelogische dag “Coherent Corporate Security” met de tafelsprekers te organiseren.
