Zwolle / Den Haag,
Cyber security specialist NFIR en advocatenkantoor First Lawyers bundelden deze maand hun expertise om uit te leggen hoe bestuurders in kunnen spelen op de NIS2-richtlijn. Tijdens twee seminars, op het kantoor van First Lawyers in Den Haag en het kantoor van NFIR in Zwolle, zijn bestuurders geïnformeerd over zowel de juridische verantwoordelijkheden die NIS2 met zich meebrengt, als de technische maatregelen die nodig zijn om aan NIS2 te voldoen.
NIS2
NIS2 is de opvolger van de oude Europese richtlijn voor ‘Network Information Security’ (NIS). De richtlijn legt minimale beveiligingsmaatregelen vast voor organisaties, om zo bij te dragen aan de bescherming van digitale systemen en verbetering van de digitale en economische weerbaarheid van Europese lidstaten. De NIS2-richtlijn is sinds januari 2023 van kracht in de Europese Unie. De richtlijn is in Nederland inmiddels omgezet naar Nederlandse wetgeving in de Cyberbeveiligingswet. De verwachting is dat de NIS 2 regels vanaf kwartaal 3 in Nederland gehandhaafd worden. Wanneer je je als bedrijf niet aan de wet houdt kan de toezichthouder boetes opleggen. NFIR en First Lawyers grepen deze kans aan om bestuurders te helpen zich hieraan aan te passen. Op 17 oktober vond op het kantoor van First Lawyers in Den Daag het eerste seminar plaats. Twee weken later, op 30 oktober, volgde bij NFIR in Zwolle het tweede seminar.
Samenwerking tussen afdelingen
Volgens de organisatoren vraagt NIS2 om samenwerking tussen de juridische, bestuurlijke en technische afdelingen. CEO van NFIR, Arwi van der Sluijs, vindt dat vooral bestuurders een belangrijke rol spelen in de naleving van de richtlijn. “NFIR kan adviseren over minimale maatregelen om aan NIS2 te voldoen, passend bij het risicoprofiel dat een bestuurder heeft vastgesteld,” legt van der Sluijs uit. “Daarom is het cruciaal dat bestuurders de technische kant van NIS2 begrijpen: alleen zo kunnen zij de juiste inschattingen maken en effectief het gesprek aangaan met hun CISO om risico’s te mitigeren. Onder NIS2 is de bestuurder verantwoordelijk voor de cyberveiligheid. Het is niet langer voldoende om maatregelen te delegeren aan IT-experts: bestuurders moeten aantonen dat zij toezicht houden en laten zien dat het beleid goed is ingericht om cyberdreigingen tegen te gaan.”
Het advocatenkantoor richtte zich tijdens de seminars op de juridische en bestuurlijke aspecten van NIS2, terwijl NFIR de praktische en technische invalshoeken belichtte en liet zien hoe organisaties de verplichtingen kunnen vertalen naar beleid en beveiligingsmaatregelen.
Cyberveiligheid in de bestuurskamer
Van der Sluijs benadrukt de noodzaak van deze seminars: “Een bestuurder moet begrijpen dat IT niet alleen goed geregeld is omdat het werkt. Het moet ook veilig zijn ingericht met als doel informatie te beschermen. Cyberveiligheid is een onderwerp voor de bestuurskamer met passende kennis en inregeling van toezicht.”