Nieuwe cyberwet veroorzaakt juridisch moeras
De nieuwe cyberveiligheidswet NIS2 is vaag over de uitvoering en naleving. Bovendien eist de wet veel papierwerk van bedrijven. Volgens ondernemer Bernold Nieuwesteeg moet de toezichthouder ingrijpen.
Illustratie: Hein de Kort voor Het Financieele Dagblad
De Network and Information Security 2 Directive (NIS2) is een Europese richtlijn met wettelijke maatregelen die het niveau van cyberbeveiliging in de Europese Unie moet verhogen. De richtlijn is afgelopen december gepubliceerd. Het is nu aan de EU-lidstaten om NIS2 vóór oktober 2024 om te zetten in nationale wetgeving.
NIS2 eist dat ‘essentiële’ en ‘belangrijke’ organisaties en bedrijven hun cyberveiligheid op orde hebben. De nieuwe richtlijn geldt voor achttien vitale sectoren. Denk daarbij aan overheden, energiebedrijven en de Rotterdamse haven, maar ook aan supermarkten en zorginstellingen. De cyberdreiging wordt namelijk steeds groter.
Hele aanvoerketen
Zo hebben bendes gelieerd aan staten als China en Rusland het steeds vaker gemunt op onderdelen van de vitale infrastructuur in Nederland en van andere EU-lidstaten. Ze gebruiken daarvoor onder meer wiper-malware, schadelijke software die computerprogramma’s kapotmaakt en data verwijdert zonder herstelmogelijkheid. Logisch dat de Europese wetgever bedrijven en organisaties wil stimuleren werk te maken van cyberveiligheid. Het gaat dan steeds vaker om beveiliging van het totale ‘ecosysteem’. Bedrijven en organisaties moeten de cyberveiligheid van hun toeleveranciers in kaart brengen.
Een voorbeeld. De chipmachines die ASML bouwt, bestaan grotendeels uit componenten die door toeleveranciers worden gemaakt. Als die onderdelen niet cyberveilig zijn, is de hele machine dat niet. Voor ASML is het dus cruciaal dat het bedrijf verzekerd is van een cyberveilige aanvoerketen. Al kan het stelen van gevoelige data en intellectueel eigendom zelfs dan nog plaatsvinden. Bijvoorbeeld door een werknemer in China, zoals ASML recent bekendmaakte.
De nieuwe cyberwet verplicht ‘essentiële’ en 'belangrijke' bedrijven en organisaties het cybersecurityniveau van de gehele aanvoerketen in kaart te brengen. Maar het gevolg is wel dat elk bedrijf of organisatie straks zelf het wiel moet gaan uitvinden. Dat zien we nu al.
‘Bij de nieuwe cyberwet is schorsing van bestuurders één van de mogelijke sancties’
We zien een wildgroei aan raamwerken en formulieren ontstaan om het cyberrisico van toeleveranciers te beoordelen. Met daarop uiteenlopende vragen: Heeft een bedrijf het juiste cybersecuritybeleid? Voldoet het aan alle wet- en regelgeving? Is multifactorauthenticatie geïmplementeerd? Is het cyberrisico financieel afgedekt? Worden medewerkers voldoende betrokken bij de cybersecuritystrategie? De vragen lopen sterk uiteen en zijn talloos.
Toeleveranciers hebben zelf ook weer meerdere toeleveranciers, die elkaar ook weer formulieren moeten sturen. Zo ontstaat het risico dat op papier de veiligheid in de totale keten gewaarborgd is, maar in de praktijk de bedrijven door de bomen het bos niet meer zien.
Hoge boetes
De wet is dus vaag. Maar toezichthouders, met name de Rijksinspectie Digitale Infrastructuur (RDI), kunnen wel hoge boetes uitdelen. Dat kan oplopen tot 2% van de wereldwijde jaaromzet van het bedrijf. Ook is schorsing van bestuurders een van de mogelijke sancties. De dreiging van hoge boetes versterkt de kritiek op NIS2.
Je ziet een sterke parallel met de introductie van de Algemene verordening gegevensbescherming (AVG) in 2018. Een onduidelijke wet in combinatie met hoge boetes leidde tot papieren rompslomp en een compliancecultuur. Keurige verwerkingsovereenkomsten en privacystatements ten spijt, datalekken zijn nog steeds aan de orde van de dag. Hackers trekken zich namelijk niet zoveel aan van juridische documenten. Ook bij NIS2 zijn torenhoge boetes, en natuurlijk het risico op een cyberaanval, mooie verkoopargumenten voor (externe) adviseurs om voor bedrijven alles juridisch dicht te timmeren.
Als je kritiek op cyberwetgeving geeft, loop je het risico het verwijt te krijgen dat je cyberveiligheid bagatelliseert. De cyberdreigingen zijn immers groot en we moeten er toch een antwoord op geven. En veel organisaties of bedrijven hebben de basis niet op orde. Toch bereikt een organisatie geen optimale cyberveiligheid door angst, boetes en onduidelijkheid. Je wilt weten wat je moet doen, hoe je het moet doen en wanneer je het goed gedaan hebt.
‘Je wilt weten wat je moet doen, hoe je het moet doen en wanneer je het goed gedaan hebt’
Hoe kan de toezichthouder een juridisch moeras voorkomen? De oplossing ligt in het ontwikkelen van een standaardmethode om toeleveranciers in kaart te brengen. We kunnen leren van de Duitse auto-industrie, waarbij Mercedes, BMW en Volkswagen samen één standaard hebben ontwikkeld voor kwaliteitscontrole bij toeleveranciers. Goedkeuring van Volkswagen betekent dat je niet opnieuw soortgelijke formulieren voor BMW hoeft in te vullen.
Maar ook moet de toezichthouder duidelijke voorbeelden geven over hoe organisaties zich aan de wet houden. Is het gebruik van Microsoft Teams of Zoom bijvoorbeeld ‘NIS2-proof’? De Autoriteit Persoonsgegevens (AP) die toeziet op de AVG doet dit nu eindelijk, mondjesmaat.
De koers van angst aanpraten voor cyberaanvallen en boetes moet definitief veranderen. Beter is het om bedrijven een wortel voor te houden in de vorm van concrete handvatten, uniforme standaarden en duidelijkheid.
Bernold Nieuwesteeg is mede-oprichter van arbeidsmarktbureau Crossover en onderzoeker aan de Erasmus Universiteit Rotterdam.