De laatste tijd zie ik regelmatig checklisten voorbij komen op LinkedIn die de verplichte maatregelen van NIS2 koppelen aan ISO27001. Heel handig, natuurlijk. Maar er is een risico dat je met zo’n checklist de strategische kant van NIS2 over het hoofd ziet. In deze blog wil ik daar wat dieper op ingaan.
Is ISO27001 genoeg?
Veel organisaties die ik heb bezocht, denken al goed op weg te zijn met de NIS2. Dit komt vaak doordat ze al een ISO27001-certificaat hebben of bezig zijn met de implementatie ervan. Hoewel dit zeker een solide basis biedt, geven organisaties vaak zelf aan dat ze toch extra aandacht moeten besteden aan bepaalde taken die NIS2 voorschrijft. Deze taken, zoals zorgplicht, meldplicht en toezicht, gaan verder dan wat ISO27001 alleen dekt.
- Zorgplicht (artikel 22): Het topmanagement moet maatregelen op het gebied van risicobeheer goedkeuren en ervoor zorgen dat ze worden nageleefd. Daarbij is het belangrijk dat ze voldoende kennis opdoen om risico’s te kunnen identificeren en beoordelen.
- Meldplicht (artikel 23): Bij significante incidenten moet er snel worden gehandeld. Binnen 24 uur moet er een melding zijn bij het CSIRT, binnen 72 uur een officiële notificatie, en binnen een maand een finaal rapport.
- Toezicht (artikelen 31 en 34): Niet voldoen aan de eisen van NIS2 kan leiden tot flinke boetes. Het topmanagement moet daarom actief betrokken zijn bij de cybersecurity van hun organisatie.
Waar zijn die checklisten op gebaseerd?
Vraag je je af waar die checklisten vandaan komen? De ENISA-website biedt een tool die standaarden zoals ISO27001, NIST CSF en ISA/IEC 62443 koppelt aan de NIS-richtlijn. Hoewel de tool oorspronkelijk is bedoeld voor de oude NIS-richtlijn, kan hij makkelijk worden aangepast voor NIS2.
De waarde en het risico van checklisten
Checklisten zijn zeker nuttig om te zien waar een organisatie staat in de naleving van NIS2. Ze helpen je om te bepalen welke maatregelen al op orde zijn en waar nog werk aan de winkel is. Dit maakt het ook makkelijker om de voortgang te volgen en verschillende onderdelen van de organisatie met elkaar te vergelijken.
Maar het gebruik van een checklist kan ook een valkuil zijn. Het gevaar is dat naleving wordt gezien als een puur technische en operationele taak. Als de punten zijn afgevinkt, lijkt het alsof de organisatie aan de eisen voldoet. Maar de bredere, strategische aspecten van NIS2 kunnen daardoor onderbelicht blijven.
Wat zijn de strategische aspecten van NIS2?
NIS2 legt de nadruk op het feit dat cybersecurity een verantwoordelijkheid is van het topmanagement. Het management moet ervoor zorgen dat informatiebeveiliging niet alleen een operationele prioriteit is, maar ook een strategische pijler binnen het risicobeheer en de algemene bedrijfsstrategie. De kern van de richtlijn draait om het creëren van een cultuur waarin cybersecurity wordt gezien als een integraal onderdeel van de bedrijfsvoering. Dit betekent dat strategische beslissingen over informatiebeveiliging op het hoogste niveau binnen de organisatie moeten worden genomen.
Waar moet je nog meer op letten bij NIS2-naleving?
Samenvattend moedigt NIS2 een aanpak aan die de hele organisatie omvat. Het management draagt de eindverantwoordelijkheid voor de cybersecurity-strategie en moet ervoor zorgen dat deze strategie is geïntegreerd in de algehele bedrijfsstrategie en risicobeheerprocessen. Het naleven van de NIS2 vraagt om een strategische verandering in hoe organisaties cybersecurity benaderen. Dit benadrukt het belang van een holistische benadering van governance, waarbij cybersecurity wordt geïntegreerd in de strategische besluitvorming.