'Nederlandse CEO’s moeten meer aandacht hebben voor cyberdreiging'

Bestuurders van Nederlandse bedrijven en organisaties moeten meer aandacht besteden aan de risico’s en gevolgen van cyberdreigingen en -incidenten. Een op de drie is onvoldoende voorbereid op de nieuwe Cyberbeveiligingswet; de Nederlandse implementatie van de Europese NIS2-richtlijn. Het grote verschil met de bestaande richtlijn is dat bestuurders hoofdelijk aansprakelijk zijn, als blijkt dat er onvoldoende beveiligingsmaatregelen zijn genomen.

Nederland doet het goed ten opzichte van andere Europese landen, maar er moet nog veel gebeuren om te voldoen aan NIS2. Banken en verzekeraars zijn vooralsnog het beste voorbereid. Zo’n 80 procent heeft de meeste maatregelen op orde. In de zorgsector ligt dat anders. Minder dan de helft van de zorginstellingen is goed voorbereid. Voldoen aan de NIS2-richtlijn is daar complex. In een ziekenhuis moeten alle patiëntgegevens voortdurend beschikbaar zijn, terwijl niet al het medisch personeel toegang mag hebben tot die gegevens.

Zorginstellingen moeten ook aan de slag met het invoeren van multi-factor authenticatie (of tweefactorauthenticatie), identiteitsbeveiliging en de rechten van beheerders  (Privileged Access Management). Maar ook met het vervangen van computerapparatuur waarvan het besturingssysteem niet langer ondersteund wordt. Dat lijken typische IT-vraagstukken, maar bestuurders moeten de urgentie daarvan onderkennen. Bij NIS2 komt de aansprakelijkheid voor eventuele cyberincidenten, zoals datalekken, bij de bestuurders te liggen. Ze zijn daarvoor hoofdelijk aansprakelijk.

De richtlijn is voor alle organisaties hetzelfde, terwijl de implementatie ervan maatwerk is. Om te voldoen aan de strengere Europese regels moeten bedrijven en organisaties soms vergaande maatregelen nemen. Die kunnen grote gevolgen hebben voor de bedrijfsvoering. IT-afdelingen en bestuurders moeten daarover met elkaar in gesprek en er afspraken over maken.

De invoeringsdatum van de wet in Nederland is nog niet bekend. Maar daar hoef je niet op te wachten. De EU-richtlijn is al wel van kracht. We zien nu al dat bedrijven zich voorbereiden en elkaar daarin uitdagen. Bij de invoering van de AVG-wetgeving, gingen bedrijven eisen stellen aan hun leveranciers. Een goede verwerkingsovereenkomst dekt de risico’s af. Datzelfde gebeurt met afspraken en audits rondom de NIS2-richtlijn.