Zorgplicht en beoordeling van naleving cybersecurityrichtlijn EU

Bedrijven die opereren binnen de IT-systemen van de overheid worden geconfronteerd met de realiteit dat de Nederlandse overheid de deadline voor de implementatie van NIS2, de Europese cybersecurityrichtlijn, niet zal halen. Security Consultant Mick Zandvliet en Data Privacy Consultant Thom Vroegindeweij van Northwave benadrukken dat het cruciaal is voor bedrijven om proactief te blijven handelen en mogelijke gevolgen te evalueren. Dat schrijft de website voor accountants, www.accountantweek.nl

Demissionair minister Dilan Yeşilgöz-Zegerius heeft officieel bevestigd dat Nederland niet tijdig zal voldoen aan de eisen van de Europese NIS2-richtlijn. Volgens experts van Northwave komt dit niet als een verrassing gezien eerdere vertragingen in aangekondigde stappen.

De consultatie, oorspronkelijk gepland voor de zomer van 2023, wordt nu pas verwacht voor de zomer van 2024. De vertraging wordt toegeschreven aan verschillende factoren, waaronder mogelijk de demissionaire status van het kabinet, wat aangeeft dat andere prioriteiten momenteel de overhand hebben in de politiek. Northwave benadrukt dat dit gebrek aan urgentie niet bijdraagt aan het verhogen van de cyberweerbaarheid in Nederland en Europa.[Artikel gaat verder na de volgende alinea]

Toenemende druk op bedrijven door complexe wet- en regelgeving

Bedrijven en de overheid worden geconfronteerd met een groeiende druk van diverse wet- en regelgeving, waaronder NIS2, DORA, CRA, en de AI Act. Northwave wijst op de onzekerheden waarmee organisaties te maken hebben, zoals het bepalen van hun positie binnen de NIS2-scope, onduidelijkheid over lokale wetgeving voor buitenlandse vestigingen, en gebrek aan toezichthouders. De experts benadrukken het belang van proactief handelen en adviseren bedrijven om niet te wachten op nationale wetgeving.

Zonder nationale wetgeving in werking, blijft het voor hen een kwestie van zorgplicht en beoordeling van naleving op Europees niveau.

Impact op registeraccountants en cyberveiligheid

Voor registeraccountants die belast zijn met het controleren van cyberveiligheid en het afleggen van verklaringen, betekent de vertraging dat zij momenteel alleen de Europese richtlijn als kader kunnen gebruiken. Zonder nationale wetgeving in werking, blijft het voor hen een kwestie van zorgplicht en beoordeling van naleving op Europees niveau.

Gevolgen voor bedrijven die aangesloten zijn op overheidssystemen

Met de inwerkingtreding van NIS2 op Europees niveau zullen ook de vereisten van deze richtlijn gelden voor leveranciers van de Nederlandse overheid. Bedrijven die met overheidssystemen werken, ervaren mogelijk aanpassingen afhankelijk van de huidige beveiligingsstatus van de overheid. Het bestaande Baseline Informatiebeveiliging Overheid (BIO) vormt al een basisnormenkader, waardoor de verwachte aanpassingen om aan NIS2 te voldoen beperkt zijn.

Stappen voor bedrijven bij vertraagde NIS2-implementatie

Northwave adviseert bedrijven om niet te wachten op de overheid en zelf actie te ondernemen om de informatiebeveiliging op het gewenste niveau te krijgen. Het uitvoeren van een assessment om de NIS2-scope te bepalen, implementeren van risicomanagementprocessen en zorgen voor een effectief incidentmanagementproces zijn cruciale stappen die organisaties nu kunnen nemen. Het benadrukken van deze maatregelen is essentieel om grip te houden op informatiebeveiligingsrisico’s en de algehele weerbaarheid van de organisatie te verhogen.