Verandering binnen de Europese cyberwetten: de naderende NIS-2 regeling en de onwetendheid van accountants

For the English version, click here.

Uit een onderzoek door SDU, een softwarematig-innovatiepartner voor het bedrijfsleven, en Lupasafe, een organisatie van cyber deskundigen die zich richten op de financiële en verzekeringswereld en voorheen ethische hacks uitvoerden voor onder andere Achmea en Rabobank, blijkt dat maar liefst 90% van de accountants onbekend is met de naderende NIS-2-richtlijn en 84% zelfs onvoldoende kennis bezit over cybersecurity. Met de naderende verplichte toepassing voor deze nieuwe Europese richtlijnen per 2024 is dit echter zorgwekkend. Ondanks de zeer minimale kennis blijkt dat de invoering van NIS-2 toch van belang zijn. Waarom er voor een nieuwe variant van de huidige NIS-1 regeling wordt gekozen en wat deze NIS-2 regeling inhoudt zal in dit artikel aan bod komen.

AED’s en DSP’s

Voordat de NIS-2 regeling verder aan bod komt, en zoals de naam doet vermoeden, is momenteel de NIS-1 regeling sinds 2016 actief. Op het moment van invoering de eerste Europese wetgeving die specifiek gericht was om cybersecurity binnen heel Europa te verhogen. Opvallend genoeg was de NIS-1 regeling flexibel opgesteld zodat ieder land er een eigen interpretatie op kon toepassen en het daardoor vooral diende als een overkoepelende opzet om landen te motiveren hun cybersecurity regelgeving aan te scherpen of soms zelf op te richten. Hierbij staan de volgende drie categorieën centraal, beveiligingseisen, meldingsplicht en informatie-uitwisseling. Ook is er een splitsing gemaakt tussen AED (Aanbieders van Essentiële Diensten) en DSP (Digital Service Providers), waarbij in tot tegenstelling tot DSP, AED’s door de nationale wetgever kan worden aangewezen. AED’s omvatten bedrijven die diensten verlenen die cruciaal zijn voor kritieke maatschappelijke entiteiten en daarvan sterk afhankelijk zijn van digitale informatiesystemen zoals leveranciers van energie. DSP’s daarentegen zijn verleners van digitale diensten zoals marktplaats.nl of de online zoekmachine yahoo.nl. Om te kwalificeren als DSP zijn er echter vereisten namelijk minimaal 50 werknemers en een jaaromzet van 10 miljoen euro. In het geval van Nederland vindt de toepassing van de NIS-1 regeling plaats via de WBNI (Wet beveiliging netwerk- en informatiesystemen). Hierbij moeten de AED’s en DSP’s verschillende adequate beveiligingsmaatregelen toepassen en mocht er toch een incident zich voordoen zijn ze verplicht deze te melden aan het Computer Security Incident Response Team (CSIRT).

Nieuwe Regelgeving

Echter is er binnen het Europese Parlement noodzaak ontstaan om de huidige NIS-1 regel uit te breiden. Met als kern van de noodzaak het feit dat cybercriminaliteit enorm groeit in combinatie met de toenemende digitalisering waardoor ook kleinere ondernemingen een groter gevaar lopen op een mogelijke cyberaanval. Op basis van de World Economic Forum Global Risks Report 2020 zal cybercriminaliteit zelfs binnen 10 jaar groeien tot het één na grootste risico vormen voor bedrijven. Om de nieuwe uitdagingen aan te kunnen wordt de NIS-1 regeling op vijf verschillende aspecten gewijzigd.

Ten eerste zullen aanzienlijk meer sectoren onder de NIS-2 regeling vallen die voorheen te klein werden geacht om gevaar te lopen. Zo worden middelgrote en grote bedrijven direct opgenomen in de NIS-2 regeling en is voor de individuele lidstaten een mogelijkheid om kleinere bedrijven met een hoog veiligheidsrisico ook te kwalificeren voor de NIS-2 regeling. 

Daarnaast wordt er een verplicht minimum aan basisbeveiliging onderdelen ingevoerd en worden de twee verschillende categorieën (AED’s en DSP’s) afgeschaft. In plaats daarvan zal er een kwalificatie lijst komen waarbij de individuele bedrijven worden gerangschikt op basis van hun belang, met als gevolg dat er verschillende regimes worden toegepast per niveau. Bovendien worden ook individuele bedrijven geacht om hun toeleveringsketens en leveranciersrelaties te herzien en eventuele security risico’s in kaart te brengen en aan te pakken. En ten slotte zal de NIS-2 regeling zich onderscheiden van NIS-1 doordat deze nationale autoriteiten in staat stelt om strengere toezichtmaatregelen in te stellen op bedrijven die hieronder vallen.

Conclusie

De huidige NIS-1 regeling wordt dus aanzienlijk verbreedt en versterkt. Zeker door het feit dat er voortaan aanzienlijk meer bedrijven onder de NIS-2 regeling vallen in vergelijking met de NIS-1 regeling zullen ook accountants hier significant meer mee te maken krijgen. En mocht men als bedrijf nu nog steeds niet in aanmerking komen voor de NIS-2 regeling, wordt de kans groot geacht dat in de nabije toekomst wel onder zal vallen in de vorm van een NIS-3 regeling. Met de toenemende digitalisering en bijbehorende cybercriminaliteit lijkt het een kwestie van tijd tot vrijwel ieder bedrijf wel te maken zal krijgen met een dergelijke regeling, en zal het belang voor onder andere accountants om zich in cyberbeveiliging te verdiepen enkel groeien in de toekomst. 

reacties