Drie redenen waarom NIS2 geen succes wordt
Security Expert
… en niet alleen omdat meerdere nationale omzettingstrajecten vertraagd zijn.
Reden 1: De entiteit wordt op het verkeerde been gezet met betrekking tot de toeleveringsketen
De eerste reden waarom NIS2 geen succes wordt, is dat berichtgeving (van met name commerciële partijen) zich richten op leveranciers die zelf NIS2 zouden moeten implementeren. Ja, leveranciers en ketenpartners zouden altijd cybersecurity hoog in het vaandel moeten hebben maar voor het voldoen aan NIS2 is de entiteit aanzet. Door de ‘schijn van‘ aansprakelijkheid en verantwoordelijkheid te verschuiven van entiteit naar ketenpartner wordt de entiteit op het verkeerde been. De entiteit kan gaan denken zelf geen rol te (hoeven) spelen waar het gaat om passende en evenredige maatregelen. Het resultaat creëert schijnveiligheid omdat de ketenpartner op enigerlei aantoont te voldoen aan NIS2 maar dat maakt het nog niet dat de ketenpartner voldoet aan de eisen van de entiteit.
Ov. 85 NIS2 geeft over de toeleveringsketen aan dat ‘… entiteiten moeten met name worden aangespoord om maatregelen voor het beheer van cyberbeveiligingsrisico’s op te nemen in de contractuele regelingen met hun directe leveranciers en dienstverleners. Die entiteiten kunnen ook risico’s in aanmerking nemen die voortvloeien uit de activiteiten van leveranciers en dienstverleners op een ander niveau.’ De bal ligt dan ook duidelijk bij de entiteit en niet bij de ketenpartner.
Reden 2: Implementatie NIS2 richt zich op ISO27001-certificering
In reden 1 gaf ik het al aan. NIS2 gaat over passende EN evenredige beveiligingsmaatregelen. ISO27001 kan hierin een hulpmiddel zijn. Een ISO27001-certificaat is echter geen NIS2-compliance document. Het is eenvoudigweg niet mogelijk om te voldoen aan NIS2 met alleen een ISO27001-certificaat. Ov. 79 NIS2 verwijst naar de ISO27000-reeks (dus naar alle ISO27***-normen) waar het gaat om het nemen van ‘maatregelen voor het beheer van cyberbeveiligingsrisico’s’. Ov. 80 NIS2 geeft aan dat ‘lidstaten …. het gebruik van de relevante Europese en internationale normen door …. entiteiten bevorderen.’. Merk dan ook op dat deze suggestie alleen aan entiteiten gericht is in relatie tot genomen maatregelen.
Veel communicatie vanuit officiële bronnen (zoals CyFun/SafeOnWeb@work.BE) en commerciële partijen wordt de term ‘evenredigheid’ niet of nauwelijks vermeld. Hierdoor ontstaat een ‘gap’ tussen de eis en de uitvoering ervan. Het gebruik van ISO27001 maakt alleen inzichtelijk dat een entiteit passende maatregelen heeft genomen. Alleen een ISO27001-certificaat is niet voldoende.
De evenredigheid moet nog vastgesteld worden (of expliciet vastgelegd). Lees ook mijn nieuwsbrief nummer 21 waarin ik specifiek in ga op de passende en evenredige maatregelen.
Reden 3: Risico gebaseerde aanpak onvolledig
De risico gebaseerde aanpak uit art. 21 lid 1 NIS2 is erg uitgebreid en gedetailleerd. Bij het lezen van art. 21 lid 1 NIS2 kun je dat snel over het hoofd zien. Meerdere overwegingen uit NIS2 (zoals ov. 37, 44, 59, 77, 78, 79, 81, 82, 83, 85 en 88 NIS2) geven nadere duiding aan risico’s en dreigingen waar een entiteit rekening mee moet houden.
Het is dan niet voldoende, zoals wel gepromoot lijkt te worden, om een framework (denk aan bijv. ISO27005) te hanteren zonder deze aanvullingen uit NIS2 zelf te hanteren. Over deze aanvullingen wordt geen melding gemaakt (zoals in bijv. Enisa Technical Implementation Guide – June 2025). Hierdoor worden entiteiten onvolledig geïnformeerd en gaan uit van hetgeen wordt aangereikt, zeker vanuit een instantie zoals Enisa. Dit gaat leiden tot een onvolledige implementatie van de risico gebaseerde aanpak, de kern van NIS2.
Gevolgen van onsuccesvol implementeren van NIS2
De gevolgen spreken voor zich. Het aantal incidenten zal niet afnemen, bepaalde incidentscenario’s worden werkelijkheid omdat deze niet vooraf toegevoegd waren aan de risico gebaseerde aanpak, implementatie van NIS2 door entiteiten vindt versnipperd plaats. Ten slotte wordt onterecht te veel vertrouwd op de schijnbare compliance van ketenpartners.
Met de komst van de Privacy Richtlijn (in Nederland omgezet in de Wbp) vond een soortgelijke situatie plaats. Deze richtlijn werd omgezet in alle lidstaten maar bleek onderling te verschillend en haar doel niet te gaan behalen. Dit leidde tot de GDPR.
De komende jaren gaat de conclusie getrokken worden dat voor NIS2 hetzelfde pad wordt bewandeld als destijds met de Privacy Richtlijn. Dit gaat, in mijn visie, leiden tot een Verordening waardoor ieder lidstaat aan dezelfde eisen gebonden is. Dat maakt de verschillen kleiner en draagt beter bij aan het behalen van de NIS2-doelstelling om te voorzien in ‘maatregelen die erop gericht zijn een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie te bereiken, teneinde de werking van de interne markt te verbeteren.’
