‘De grootste verandering sinds de laatste keer dat we elkaar over het digitaal veiliger maken van Nederland spraken? Dat is zonder twijfel de komst van de EU-richtlijn NIS2.’ Aan het woord is Ronald Driehuis, ICT-auditor. ‘De verwachting is dat deze nieuwe wetgeving in Q1 al in consultatie gebracht wordt, waarbij wordt beoogd dat deze in oktober van dit jaar daadwerkelijk in werking treedt. Dit is op het gebied van informatiebeveiliging, zeker binnen bepaalde sectoren, een serieuze aangelegenheid die veel gevolgen met zich meebrengt.’ 

Vrijblijvendheid voorbij

‘Nu biedt de huidige NIS-richtlijn (denk aan de Baseline Informatiebeveiliging Overheid, kortweg de BIO) toch nog een bepaalde mate van vrijblijvendheid, terwijl bedrijven en (lokale) overheden straks daadwerkelijk onder toezicht komen te vallen. De audits die hiermee gepaard gaan lijken zwaar en uitgebreid te worden. Er zijn nogal wat zaken waaraan men moet gaan voldoen om te voorkomen dat de toezichthouder op de stoep staat’, aldus Ronald. ‘Aan de andere kant, als je nu al goed met de BIO bezig bent en je hebt je risicomanagement op orde, dan hoeft het allemaal niet zo’n probleem te zijn. Maar uit de praktijk weten mijn collega’s en ik dat bij veel gemeenten, bedrijven en andere organisaties op dit moment al genoeg uitdagingen leven om ervoor te zorgen er überhaupt aan de BIO voldaan wordt.’ 

NIS2: aangescherpte versie van NIS 

‘Wat de situatie verder compliceert is dat men in het kader van NIS niet alleen naar kantoorautomatisering kijkt, maar ook naar OT: operational technology. Denk bijvoorbeeld aan iets specifieks als gemalen, pompen, sluizen en andere systemen die soms ook op afstand bediend worden. Die vallen op dit moment niet onder de audit, maar daar zal straks wel naar gekeken worden. Is het op afstand bedienen bijvoorbeeld wel veilig genoeg ingeregeld? Wie kan er allemaal bij deze systemen? En is er überhaupt een pentest uitgevoerd om kwetsbaarheden naar boven te halen? Dát zijn zo van die vragen die straks in een audit terugkomen. De NIS2 is feitelijk een verscherping van de eerder ingevoerde NIS waarin nog te veel hiaten aanwezig waren.’ 

Goed beschreven; slecht geregeld? 

‘In het algemeen kan ik stellen dat sommige bedrijven, gemeenten of andere organisaties toch wel moeite hebben met het inspelen op en doorvoeren van verandering. Dat zie ik in de praktijk rondom aanpassingen in normenkaders zoals recentelijk met de invoering van norm B.01 bij de DigiD-audit’, vervolgt Ronald. ‘Ik vind het bovendien nog altijd een gemiste kans dat norm B04 niet in de audit is gekomen, want een goed certificaat op je website in combinatie met een goed beheerproces is een belangrijk aspect. Daar waar beleidsnorm B01 alleen maar toetst of je beleid hebt staan, lijkt het mij belangrijker om te kijken of het ook echt veilig is ingericht.’ 

Papieren tijgers

‘Door te kiezen voor B01 en niet te kiezen voor de meer praktische norm als het toetsen van het certificaatbeheer, zijn we weer bezig met het creëren van een papieren tijger. Bij het opzetten van een normenkader moeten we juist kijken of het in de praktijk goed gaat. Het is dus wel goed dat we bij de DigiD gaan beginnen met het toetsen op de werking’, vervolgt Ronald. ‘Het gaat erom dat we kijken naar wat bijdraagt aan de veiligheid van ons land en wanneer we dan een audit gaan inrichten moeten de normen daarop gericht zijn. Uiteraard is het handig om vooraf na te denken over de juiste maatregelen en dat vastleggen, maar uiteindelijk is het veel belangrijker om deze maatregelen geïmplementeerd te hebben.’ 

Ensia als ambtelijk gedrocht 

‘Het is, los van de komst van NIS2, sowieso wenselijk om te onderzoeken of we de audit-methodiek een stuk gemakkelijker kunnen maken. Zo denk ik bijvoorbeeld aan Ensia, wat staat Eenduidige Normatiek Single Information Audit en staat voor eenmalige informatieverstrekking en eenmalige IT-audit. Dit is ingesteld omdat gemeentes in eerste instantie vanuit allerlei ministeries vragen op zich af zagen komen rondom controles op Basisregistratie Personen (BRP), de paspoorten en Nederlandse identiteitskaarten, de DigiD en meer. Wat we in de praktijk zien is dat dit oorspronkelijk goede idee om zaken samen te voegen tóch weer tot een ambtelijk gedrocht is geworden, want het aantal vragen dat gemeenten inmiddels moeten beantwoorden is opgelopen tot een aantal van ruim 1000 (!) stuks. Dat kan veel helderder.’  

Een blik op de toekomst 

‘Wanneer ik vooruitkijk naar 2024 dan verwacht ik dat organisaties het zwaar gaan krijgen met de nieuwe NIS2-richtlijn. Dat gaat, vanuit verschillende invalshoeken, tijd, geld en veel organisatiekracht kosten. Mijn advies is dan ook om vooral niet af te wachten tot oktober, maar om al zoveel mogelijk in te spelen op dat wat er komen gaat. Want ook hiervoor geldt: een goed begin is het halve werk. Werk dat bovendien niet vrijblijvend is in geval van NIS2.’