Waar voorheen informatiebeveiliging te vaak gezien werd als de verantwoordelijkheid van de CIO of IT-manager maakt de NIS2 richtlijn heel duidelijk dat de eindverantwoordelijkheid ligt bij de directie. Dat betekent niet dat je nu als directeur een cursus cryptografie of reverse engineering moet gaan volgen. Maar bestuurders worden wel wettelijk verplicht om informatiebeveiligingstrainingen te volgen. Zij moeten hun kennis kunnen aantonen met een certificaat van deelname.
Volwassenheid van informatiebeveiliging
De NIS2-richtlijn heeft als doel de digitale weerbaarheid en informatiebeveiliging van organisaties binnen de EU te versterken zodat verstoringen en digitale aanvallen worden voorkomen en sneller worden aangepakt. Organisaties bereiken dat door een hoger volwassenheidsniveau van informatiebeveiliging na te streven en te realiseren. De urgentie mag duidelijk zijn aan de hand van de vele recente nieuwsberichten over datalekken bij organisaties. De gevolgen kunnen mogelijke financiële en/of reputatieschade zijn.
De Cyberbeveiligingswet vormt de Nederlandse uitwerking de NIS2 en vertaalt de Europese richtlijn naar concrete nationale regels en toezicht voor organisaties in Nederland.
De verwachting is dat NIS2 in het tweede kwartaal van 2026 in werking treedt. En nee, met alleen een ISO 27001 certificering voldoe je niet automatisch aan de NIS2-richtlijn. Maar je hebt wél een flinke voorsprong.
Belangrijke kenmerken van de NIS2-richtlijn zijn:
- Een verbreding van de groep organisaties die onder het toezicht vallen
- Strengere zorgplicht op het gebied van informatiebeveiliging
- Meldplicht voor ernstige incidenten
- Bestuurders worden verantwoordelijk gehouden
- Hogere boetes bij niet naleven
Reden om in paniek te raken? Nee. Reden om het thema informatiebeveiliging nog serieuzer te nemen en er proactief mee aan de slag te gaan? Ja, zeker!
Handhaving NIS2 richtlijn
De NIS2-richtlijn is sinds januari 2023 van kracht en had uiterlijk in oktober 2024 door alle lidstaten in nationale wetgeving moeten zijn omgezet. De Cyberbeveiligingswet zit in Nederland nog in de wetgevingsfase en is nog niet in werking getreden. Hoewel er nog geen jurisprudentie is, is het juridisch kader al wel vrij duidelijk. Bestuurders moeten informatiebeveiligingsmaatregelen goedkeuren, uitdragen en actief toezicht houden. Ze kunnen persoonlijk aansprakelijk gesteld worden bij ernstige nalatigheid, bijvoorbeeld wanneer aantoonbaar onvoldoende maatregelen zijn genomen terwijl risico’s bekend waren en verplichtingen uit de wet niet zijn nageleefd. Het aannemen van bijvoorbeeld een CIO of CISO neemt die verantwoordelijkheid niet weg. Dat staat expliciet in de richtlijn. De verwachting is dat rechters gaan toetsen op:
De NIS2-richtlijn is sinds januari 2023 van kracht en had uiterlijk in oktober 2024 door alle lidstaten in nationale wetgeving moeten zijn omgezet. De Cyberbeveiligingswet zit in Nederland nog in de wetgevingsfase en is nog niet in werking getreden. Hoewel er nog geen jurisprudentie is, is het juridisch kader al wel vrij duidelijk. Bestuurders moeten informatiebeveiligingsmaatregelen goedkeuren, uitdragen en actief toezicht houden. Ze kunnen persoonlijk aansprakelijk gesteld worden bij ernstige nalatigheid, bijvoorbeeld wanneer aantoonbaar onvoldoende maatregelen zijn genomen terwijl risico’s bekend waren en verplichtingen uit de wet niet zijn nageleefd. Het aannemen van bijvoorbeeld een CIO of CISO neemt die verantwoordelijkheid niet weg. Dat staat expliciet in de richtlijn. De verwachting is dat rechters gaan toetsen op:
- Heeft het bestuur aantoonbaar passende maatregelen genomen? Zijn maatregelen bewust niet genomen?
- Waren er risico’s bekend maar zijn deze genegeerd? Met andere woorden zijn risicoanalyses structureel uitgevoerd en opgevolgd?
- Zijn ernstige incidenten op tijd en volledig gemeld.
- Is er logging van besluiten?
- Is er actief toezicht gehouden op naleving?
Het aannemen van bijvoorbeeld een CIO of CISO neemt die verantwoordelijkheid niet weg.
Conclusie
Informatiebeveiliging wordt met de NIS2 richtlijn een expliciete verantwoordelijkheid van het hoger management. Bestuurders moeten actief sturen, toezicht houden en zich laten trainen.
Organisaties moeten hun besturing, processen en beveiligingsmaatregelen naar een volgend volwassenheidsniveau brengen om te voldoen aan strengere eisen en rapportageverplichtingen. Informatiebeveiliging is niet langer een IT-onderwerp, maar een kernonderdeel van goed bestuur en risicomanagement.
Wil je meer weten over hoe je jouw ISO 27001 certificering naar een volgend volwassenheidsniveau brengt en de NIS2 eisen daarin borgt? Neem contact op voor een vrijblijvend kennismakingsgesprek.
