Trends & ontwikkelingen 2024: rol overheid in IT-security groeit

De overheid bemoeit zich steeds meer met de regelgeving op het gebied van IT-security. Dat is niet zo gek, aangezien steeds meer kritische voorzieningen en essentiële bedrijven in hoge mate afhankelijk zijn van IT- en internetsystemen. Uitval van deze systemen kan de hele samenleving ontwrichten. Bovendien neemt het aantal cyberdreigingen de laatste jaren enorm toe. Denk aan digitale oorlogsvoering waarbij hackers bijvoorbeeld banken, internet of energievoorzieningen van hun tegenstanders platleggen. Maar ook het gijzelen van bedrijven met behulp van ransomware kan desastreuze gevolgen hebben. 

NIS en Wbni voldoen niet meer

In 2016 werden de NIS-richtlijnen geïntroduceerd: een Europees kader voor de beveiliging van netwerk- en informatiesystemen die van algemeen belang zijn voor de openbare veiligheid. In Nederland werd de NIS-regelgeving vertaald naar de Wet beveiliging netwerk- en informatiesystemen voor digitale dienstverleners (Wbni), die strenge eisen stelt aan de minimale cyberbeveiliging van essentiële bedrijven. Door de enorme technologische ontwikkelingen en de toegenomen onrust in de wereld, voldoet de NIS – en daarmee ook de Wbni - niet meer. Daarom wordt momenteel gewerkt aan de opvolger: NIS2.

Wat betekent NIS2 voor mijn organisatie?

NIS2 is een stuk uitgebreider dan NIS1: de eisen zijn aangescherpt en bovendien vallen veel meer bedrijven onder deze richtlijnen. Deze bedrijven krijgen in ieder geval te maken met:

  • Strengere meldplicht
    Incidenten waarbij data gelekt, gestolen of gehackt zijn, moet je binnen 24 uur melden bij de toezichthouder in jouw sector (deze worden nog aangesteld). De toezichthouder komt vervolgens op locatie kijken naar de situatie, wat er is gebeurd en wat de oorzaak is.
  • Uitgebreide zorgplicht: nog meer focus op preventie
    Binnen de nieuwe richtlijnen ligt de focus nog meer op preventie. Van organisaties wordt verwacht dat zij potentiële risico’s in kaart brengen en maatregelen nemen om inbreuken te voorkomen of zo snel mogelijk te verhelpen. Denk hierbij bijvoorbeeld aan toegangsbeleid, activabeheer en cyberhygiëne. In de vertaling van de NIS2-richtlijnen naar Nederlandse wetgeving worden hier specifieke onderwerpen aangehangen, bijvoorbeeld antivirusbeveiliging, spamcontroles en standaard securitytoepassingen.
  • Handhaving: reactief én proactief
    Toezichthouders gaan meer proactief handhaven, bijvoorbeeld door steekproefsgewijs en onaangekondigd bedrijven te bezoeken en te controleren. Voldoet je organisatie niet aan de wetgeving, dan riskeer je een boete die kan oplopen tot 2% van je jaaromzet.
  • Persoonlijke aansprakelijkheid bestuurders
    In de nieuwe wetgeving kunnen bestuurders persoonlijk aansprakelijk gesteld worden wanneer de wetgeving niet wordt nageleefd. Op dit moment staat echter nog niet vast wat de mogelijke sancties voor bestuurders zijn bij overtredingen.

Waar staan we nu met NIS2?

Eind 2022 werden de NIS2-richtlijnen vastgelegd door de Europese raad. Vóór 17 oktober 2024 moet elke lidstaat de richtlijnen omzetten in nationale wetgeving. Ook de Nederlandse overheid is hier druk mee bezig. Via een internetconsultatie konden burgers en bedrijven verbeteringen doorgeven, deze worden nu meegenomen in de besluitvorming. Dit is een complexe en omvangrijke taak met grote maatschappelijke impact, die zeer zorgvuldig moet gebeuren. Demissionair minister van Justitie en Veiligheid Dilan Yeşilgöz-Zegerius maakte eind januari bekend dat het Nederland niet lukt om de NIS2-richtlijnen voor de deadline te implementeren.

Uitstel of niet, die nieuwe NIS2-wetgeving komt er. En zorgen dat jouw organisatie er klaar voor is, is een flinke klus. Daarom adviseren wij om toch alvast met de voorbereidingen te beginnen.

Overheid investeert meer in bestrijding cybersecurity

Naast het aansporen van bedrijven door middel van wet- en regelgeving, werkt de overheid hard aan het opzetten van een kennisnetwerk om up-to-date te blijven rondom cybersecurity. Denk hierbij aan het Nationaal Cyber Security Centrum (NCSC). Dit orgaan is het centrale informatieknooppunt en expertisecentrum voor cybersecurity binnen Nederland.

Daarnaast roept de Cyber Security Raad, een onafhankelijk adviesorgaan voor het Kabinet, de nieuwe regering op om meer te investeren in cybersecurity. De raad dringt aan op sterke centrale regie vanuit de overheid, samenwerking met het bedrijfsleven en de wetenschap, en een snellere uitvoering van de Nederlandse Cybersecuritystrategie (NLCS). Ons land, dat sterk gedigitaliseerd is, staat voor diverse digitale dreigingen vanwege de gespannen geopolitieke situatie en een groeiende cybercriminaliteit. Een strakke regie is nodig om Nederland digitaal veilig te houden. De jaarlijkse investeringen van het nieuwe kabinet worden geschat op 200 miljoen euro in 2024, oplopend tot 550 miljoen in 2028 en daarna.

Is jouw organisatie goed beveiligd?

Het goed inrichten van je IT security is vandaag belangrijker dan ooit. Met YourSecurity bieden wij een scala aan diensten en producten om ervoor te zorgen dat je altijd en overal veilig aan het werk bent en dat je waardevolle bedrijfsdata goed geborgd is. Wil jij weten of je ICT-beveiliging op een goed niveau is? Vraag dan de Security Health Check aan.

Benieuwd wat je dit jaar nog meer te wachten staat op ICT-gebied? Lees hier alle trendblogs

Security Health Scan