Bedrijven en instellingen kunnen vanaf nu eenvoudig zien of ze onder de NIS2-richtlijn vallen die de digitale weerbaarheid moet verhogen. De Rijksinspectie Digitale Infrastructuur (RDI) heeft daartoe de zelf-evaluatie NIS2 gelanceerd.
Ook maakt de tool duidelijk of een organisatie volgens NIS2 wordt gezien als ‘essentieel’ of ‘belangrijk’ voor het functioneren van de maatschappij dan wel de economie.
De richtlijn Netwerk- en informatiesystemen (NIS2) stelt veel hogere eisen aan de digitale veiligheid. Deze Europese richtlijn moet eind 2024 zijn vertaald naar nationale wetgeving. Dat betekent dat organisaties die volgens de richtlijn gezien worden als ‘essentieel’ of ‘belangrijk’, nog een jaar de tijd hebben om zich voor te bereiden op de verplichtingen van de aankomende wetgeving.
Binnenkort start de internetconsultatie, die organisaties de mogelijkheid geeft te reageren op de concept wetteksten die uit de NIS2-richtlijn voortkomen. Hierdoor krijgen organisaties ook meer inzicht in wat er straks van hen verwacht wordt.
Met wat ik heb mogen zien in landen die NIS 1 zwaarder dan Nederland hebben ingevoerd. (En mede door de lichte invoer in oa Nederland is de NIS 2 noodzakelijk.) is het verder niet zeer verschillend of je essentieel of belangrijk bent als organisatie. In het eerste geval moet je 3 jaarlijks met een externe audit (waarschijnlijk) bewijzen dat je een cyber security framework adequaat hebt ingevoerd. En in het tweede geval pas of je dat wel gedaan hebt nadat het mis ging. Als het dermate mis ging dat de overheid dat bewijs wil zien, is het antwoord waarschijnlijk nee.
Qua gradatie van adoptie en implementatie van een framework is de juiste passende keuze veel belangrijker. Hopelijk geeft de wet hier ruimte voor een NIST of CIS Controls naast ISO 9002 (en IoT varianten).
Maar ik zou niet wachten en alvast beginnen. Het is nooit verloren tijd en moeite. Wellicht dat een organisatie niet NIS2 plichtig is, maar een klant wellicht wel. En die zal vervolgens bij haar kritieke IT dienstverleners een zelde vraag neer gaan leggen.