Bernold Nieuwesteeg, directeur van het Centre for the Law and Economics of Cybersecurity van Erasmus School of Law, waarschuwt voor een gebrek aan uniformiteit bij belangrijke en essentiële bedrijven in het in kaart brengen van het cybersecurityniveau. Een nieuwe EU-richtlijn, Network and Information Security 2 Directive (NIS2), eist dat belangrijke en essentiële organisaties hun cybersecurity op orde hebben en in kaart te brengen. De richtlijn biedt echter geen standaardmethode om cybersecuritymaatregelen en -strategieën te documenteren, legt Nieuwesteeg uit in een opiniestuk in het Financieele Dagblad.
NIS2 moet voor oktober 2024 zijn geïmplementeerd in nationale wetgeving van de EU-lidstaten en zal gaan gelden voor achttien vitale sectoren, zoals overheden, energiebedrijven en de Rotterdamse haven. Cyberdreiging wordt steeds groter, waardoor volgens Nieuwesteeg meer cyberwetgeving voor de hand ligt: “Logisch dat de Europese wetgever bedrijven en organisaties wil stimuleren werk te maken van cyberveiligheid. Het gaat dan steeds vaker om beveiliging van het totale ‘ecosysteem’. Bedrijven en organisaties moeten de cyberveiligheid van hun toeleveranciers in kaart brengen.”
Volgens Nieuwesteeg is NIS2 echter te vaag over de uitvoering en naleving van cyberveiligheid en moet de toezichthouder ingrijpen: “We zien een wildgroei aan raamwerken en formulieren ontstaan om het cyberrisico van toeleveranciers te beoordelen. Met daarop uiteenlopende vragen: Heeft een bedrijf het juiste cybersecuritybeleid? Voldoet het aan alle wet- en regelgeving? Is multifactorauthenticatie geïmplementeerd? Is het cyberrisico financieel afgedekt? Worden medewerkers voldoende betrokken bij de cybersecuritystrategie? De vragen lopen sterk uiteen en zijn talloos.”
Naast dat de wetgeving vaag is, kunnen boetes oplopen tot twee procent van de jaarlijkse wereldomzet van een bedrijf. Kritiek op cyberwetgeving kan bovendien leiden tot het verwijt dat je cyberveiligheid bagatelliseert. Nieuwesteeg noemt de richtlijn problematisch: “een organisatie bereikt geen optimale cyberveiligheid door angst, boetes en onduidelijkheid.”
Volgens de directeur van CLECS is er een voor de hand liggende oplossing voor mogelijke problemen door NIS2: “De oplossing ligt in het ontwikkelen van een standaardmethode om toeleveranciers in kaart te brengen. We kunnen leren van de Duitse auto-industrie, waarbij Mercedes, BMW en Volkswagen samen één standaard hebben ontwikkeld voor kwaliteitscontrole bij toeleveranciers. Goedkeuring van Volkswagen betekent dat je niet opnieuw soortgelijke formulieren voor BMW hoeft in te vullen. Maar ook moet de toezichthouder duidelijke voorbeelden geven over hoe organisaties zich aan de wet houden. Is het gebruik van Microsoft Teams of Zoom bijvoorbeeld ‘NIS2-proof’? De Autoriteit Persoonsgegevens die toeziet op de AVG doet dit nu eindelijk, mondjesmaat.
- Onderzoeker
- Meer informatie
Klik hier voor het hele opiniestuk van Nieuwesteeg in het Financieele Dagblad.