'Met Europese NIS2-richtlijn gaan strenge verplichtingen gelden voor cybersecurity'

Dit is een expertquote van Johan Traa, partner Finance and Technology, Boer & Croon.

U kunt dit bericht, of delen hiervan gebruiken op uw kanalen, met vermelding van de naam van de expert en organisatie. Aanleiding: Waarom CFO’s zich zorgen moeten maken over cybersecurity - AG Connect

Sinds december 2022 is er een strenge Europese richtlijn voor cybersecurity: Network and Information Security 2 (NIS2). Deze richtlijn richt zich op risico´s die netwerken en informatiesystemen bedreigen en kunnen leiden tot een ontwrichting van de economie en samenleving. NIS2 moet eind 2024 zijn opgenomen in de nationale wetgeving. Het is bekend dat vanuit onder andere China en Rusland heimelijk geprobeerd wordt om onze kritische infrastructuur in kaart te brengen.

Een korte inventarisatie van de dreigingen leert ons dat Europa, en Nederland in het bijzonder, uitermate kwetsbaar is. Hierom zijn de cruciale sectoren waarop NIS2 betrekking heeft flink uitgebreid. Het betreft onder meer organisaties die zich bezighouden met energie, transport, banken, infrastructuur, financiële markten, gezondheidszorg, drinkwater, digitale infrastructuren, afvalwater, overheidsdiensten, ruimtevaart en beheer van ICT-diensten.

Er zijn grofweg drie soorten cybersecurityrisico´s: datadiefstal, ransomware-aanvallen en hacks met het oogmerk de samenleving te ontwrichten. NIS2 is voornamelijk in het leven geroepen om risico´s uit de laatste categorie te beperken. NIS2 schrijft drie verplichtingen voor. Het uitvoeren van een risicobeoordeling en op basis daarvan het nemen van passende beschermingsmaatregelen (zorgplicht). Incidenten moeten binnen 24 uur bij de toezichthouder worden gemeld (meldplicht). En de plicht om zich te laten controleren door de toezichthouder op naleving van voorgaande vereisten. Bij nalatigheid kunnen er forse boetes (1,4 tot 2 procent van wereldwijde omzet) worden uitgedeeld.

De volgende maatregelen zouden door de CFO op de boardroomagenda moeten worden geplaatst:

• Bewustwording van bestuur en management van cybersecurity en de impact van NIS2 op hun onderneming
• Risicoanalyse en het opstellen van beschermingsmaatregelen
• Het opstellen van een bedrijfscontinuïteitsplanen protocollen voor crisisbeheersing
• Het identificeren van alternatieve toeleveringsketens en scenarioplanning

Door regelmatig een crisisoefening te houden kan de CFO ervoor zorgen dat iedereen weet hoe te handelen in geval van een calamiteit. Snel handelen is essentieel om erger te voorkomen. Bovendien kunnen zo eventuele lacunes in het draaiboek worden opgespoord.