En? Inderdaad. Het was tijdens het schrijven van dit 3e artikel nog steeds oktober. Dus dat betekend dat het nog steeds:
Jawel! (European) Cybersecurity Month was.
Het feest blijft maar door gaan. En een feest dat is het zeker. In een viertal (4) berichten (3 down, 1 to go) zal ik jullie meenemen langs verschillende onderwerpen die (o.a.) van belang zijn voor jou als medewerker van de organisatie.
Deze keer gaan we het hebben over wetgeving
Zoals je (uiteraard) in de vorige post hebt gelezen is bewustwording (awareness) met betrekking tot informatiebeveiliging een steeds belangrijker onderdeel binnen wet- en regelgeving.
Wellicht heb je al eens gehoord van de Network and Information Security directive two, ofwel de NIS2. Dit is een EU richtlijn die in het laatste kwartaal van 2024 van kracht is. Het is de opvolger van de, je verwacht het niet, de NIS (deze had nog niet het getal 1 in de naamgeving).
Maar wacht even. Er wordt gesproken over richtlijn. Hoe kan een richtlijn dan “in ene” een wet worden? Dat komt door de afspraken die wij met elkaar gemaakt hebben in de Europese Unie. Een richtlijn die is opgesteld door de EU resulteert in nationale wetgeving. Een verordening werkt direct en rechtstreeks zonder omzetting of tekstwijziging door op nationaal niveau. Denk bijvoorbeeld aan de Algemene Verordening Gegevensbescherming. Die is 1:1 vertaald en uitgevoerd. Vergeet niet dat er ook een uAVG is. De Uitvoeringswet Algemene verordening gegevensbescherming geeft in Nederland uitvoering aan de Algemene verordening gegevensbescherming.
Tot zover de uitleg over hoe wetgeving vanuit de EU doorwerkt in onze (eigen) wetgeving. Terug naar de bewustwording die dus in de NIS2 wordt vernoemd. Uit de overwegingen in de NIS2:
Essential and important entities should adopt a wide range of basic cyber hygiene practices, such as zero-trust principles, software updates, device configuration, network segmentation, identity and access management or user awareness, organise training for their staff and raise awareness concerning cyber threats, phishing or social engineering techniques[…].
Maar! De bewustwording geldt voor alle medewerkers. Dus ook alle managementteam leden. Daar staat ook nog eens expliciet beschreven dat het voor hen verplicht is. In artikel 20 – lid 2 staat namelijk het volgende:
Member States shall ensure that the members of the management bodies of essential and important entities are required to follow training, and shall encourage essential and important entities to offer similar training to their employees on a regular basis, in order that they gain sufficient knowledge and skills to enable them to identify risks and assess cybersecurity risk-management practices and their impact on the services provided by the entity.
Dus al vond een organisatie uit de categorie essentieel of belangrijk bewustwording geen ‘hot topic’ zorgt de NIS2 er voor dat het dus wel hoger op de lijstjes komt.
Het feit dat ik jullie dus zoveel mogelijk informatie probeer te geven rondom bewustwording is dus ook niet alleen ik of een norm die het belangrijk vind. De wetgever gaat er ook wat van vinden.
Hoe een en ander in onze nationale wet ten uitvoering komt is nog niet bekend. De eerste versie moet begin 2024 gepubliceerd worden. Wat wij al wel weten is dat de NIS2 in een nationale wet wordt vastgelegd en wordt ondersteunt door een Algemene Maatregel van Bestuur (AMvB). Dit laatste is nodig om waar nodig bijvoorbeeld technische specificaties kwijt te kunnen. Een AMvB is wat makkelijker om te wijzigen dan een wet.
Wat dus de uiteindelijke implicaties rondom deze wet voor ons gaat zijn is dus ook nog niet bekend. Wel is dat wij er aan moet voldoen. Maar daarover later meer.
Vragen? Je weet mij te vinden!
– thijs
