De impact van NIS2: een interview met juridisch adviseur Beerend
In dit interview maken we kennis met Beerend van Dijk. Hij is juridisch adviseur bij het ministerie van Infrastructuur en Waterstaat in het kader van de NIS2.
Wat is je achtergrond?
‘Ik ben jurist, gespecialiseerd in het maken van en adviseren over wetgeving. Dat doe ik al meer dan een decennium. Ik ben in de digitalisering gerold via de handelsregister-regelgeving, met een zijstapje naar XBRL via persoonsgegevensbescherming. Nu ben ik al enige tijd betrokken bij de digitale weerbaarheid van vitale sectoren. Door mijn achtergrond kijk ik vaak met een juridische bril naar de wereld.’
Wat voor werk doe je in het kader van de NIS2?
‘Bij het ministerie van Infrastructuur en Waterstaat gaat de NIS2 voor een groot aantal sectoren gelden. Daarom is er een projectteam bezig met de interne afstemming van standpunten en het inbrengen van deze standpunten in het wetgevingstraject. Dat is soms juridisch en soms politiek-bestuurlijk en andere keren een kwestie van helder communiceren. Binnen dat projectteam heb ik een rol als adviseur voor onze collega’s. De verschillende inzichten en standpunten van IenW worden bijeen gebracht en gebundeld gepresenteerd in het interdepartementale circuit.’
Wat betekent het om met dit onderwerp bezig te zijn en wat vind je daarin belangrijk?
‘De NIS2 geeft een steun in de rug aan organisaties die hun cyberweerbaarheid serieus nemen en het is ontzettend actueel. Het zal niemand ontgaan zijn dat de cyber-risico’s onverminderd hoog blijven. Maar het is belangrijk om de opgave niet uitsluitend te bekijken als een opgave voor ICT’ers. Het bereiken van een weerbare organisatie vraagt om continue aandacht. Niet alleen van de ICT-afdeling, en ook niet alleen van het bestuur. Het is een verantwoordelijkheid van de hele organisatie. Met weerbare organisaties kunnen we in Nederland het verschil maken.’
Over welke onderdelen van de NIS krijg jij veel vragen als adviseur?
‘De overkoepelende vraag is eigenlijk wat er verandert voor veel organisaties op het moment dat de richtlijn in wetgeving is omgezet. Organisaties willen graag weten waar ze aan toe zijn en welke maatregelen ze moeten nemen om te voorkomen dat de toezichthouder ze erop aanspreekt. Logisch, terwijl dat antwoord in algemene zin niet te geven is. Een andere vraag is op welke wijze een belangrijke of essentiële entiteit inzicht kan krijgen in de risico’s die zitten in de keten van toeleveranciers.’
Heb je het idee dat het leeft bij de bestuurders en cyberprofessionals die ermee aan de slag moeten gaan?
‘In ieder geval speelt het bij cyberprofessionals. Die hebben ook al een beeld van de volgende paar stappen die ze willen of zullen moeten zetten. Bestuurders hebben zorgen over hun eigen verantwoordelijkheid in het stelsel. Het mooie van de NIS2 is dat de vraagstukken duidelijker op de agenda van het bestuur worden geplaatst.’
Waar zie je kansen en wat is de grootste uitdaging in de NIS2?
‘Een heel groot deel van de samenleving gaat te maken krijgen met de NIS2. Deels is die impact direct, maar deels ook indirect als toeleverancier van een essentiële of belangrijke entiteit. Dit betekent dat er een hele stevige impuls is om de cyberhygiëne onder de loep te nemen. Relatief laaghangend fruit (sterke en unieke wachtwoorden, multifactor-authenticatie en alert zijn op phishing) wordt zo gemeengoed. De uitdaging gaat erin zitten dat je preciezer in beeld krijgt van wie en van welke processen en systemen ze afhankelijk zijn. Een goede tip die ik laatst hoorde was dat enkele organisaties al gemonitord hebben voor welke processen en systemen Log4J gebruikt was. Als je dat al op de plank hebt liggen, heb je een goed beginpunt.’
Wat vind je dat iedereen moet weten over de NIS2?
‘Het gaat niet lukken om alle risico’s uit te bannen en het gaat ook niet lukken om te voorkomen dat een organisatie blootgesteld wordt aan een incident. Als we van die realiteit uitgaan, dan gaat het niet om de muur rondom een organisatie te verhogen, maar om maatregelen gericht op het beheersen van een incident en het herstellen van de dienstverlening. Organisaties hebben daarin ook een keuze te maken. In veel cybersecurity-discussies blijft die invalshoek ten onrechte onderbelicht.’