Nederlandse overheid haalt deadline voor NIS2-securityrichtlijn in oktober niet

Nederland gaat de deadline voor de NIS2-cybersecurityrichtlijn niet halen. De deadline voor het opstellen van de juiste wetgeving ligt in oktober, maar het traject daarvoor is zo complex dat de wet pas in het najaar naar de Tweede Kamer kan.

Daarvoor waarschuwt demissionair minister van Justitie en Veiligheid Dilan Yeşilgöz-Zegerius in een brief aan de Tweede Kamer. Het gaat over de implementatie van de NIS2-richtlijn, die vanuit Europa is opgelegd. Die moet tot nationale wetgeving leiden. Naast de netwerk- en informatiebeveiligingsrichtlijn wordt ook de CER-richtlijn, voor het beschermen van kritieke infrastructuur, niet op tijd gehaald.

De deadline voor het implementeren van de richtlijn ligt op 17 oktober van dit jaar. Yeşilgöz zegt nu dat 'het omzetten van de richtlijnen in nationale wetgeving meer tijd vraagt dan in eerste instantie werd verwacht'. De demissionair minister verwacht dat er in de zomer van dit jaar een conceptwet wordt gepresenteerd. Daarna moet de wet nog naar de Afdeling advisering van de Raad van State. "Ik streef ernaar de wetsvoorstellen vervolgens in het najaar van dit jaar aan uw Kamer aan te bieden", schrijft Yeşilgöz.

Yeşilgöz noemt geen concrete reden waarom het werk langer duurt dan verwacht. Ondanks het ontbreken van wetgeving zegt de minister dat bedrijven zich alvast moeten voorbereiden op de wet. Daar zijn genoeg manieren voor, zegt ze. Zo kunnen bedrijven risicoanalyses uitvoeren, personeel bewust maken en incidentprocedures aanscherpen. Ze verwijst daarbij naar bestaande cybersecuritywetgeving, zoals de Wet beveiliging netwerk- en informatiesystemen.

Reacties (53)

ernstoud

31 januari 2024 21:11

En natuurlijk ISO27001 implementeren en de compliance met de AVG nog eens tegen het licht houden. Dan kom je als bedrijf een heel eind.

Snow_King

@ernstoud • 31 januari 2024 21:21

Exact. Als je een ISMS hebt, die je voor ISO27001 nodig hebt, dan ben je al heel ver.

Risico's in kaart brengen, beleidsstukken voor veel zaken en vooral vastleggen wat en waarom je het doet.

Je hoeft geen ISO27001 certificaat te hebben, maar je moet het wel implementeren.

Het gaat er vooral om dat je zicht hebt op je organisatie. Je lifecycles van je software en hardware kent en weet waar de gevaren liggen. Vervolgens een plan hebt en daar op acteert.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Snow_King • 31 januari 2024 21:57

Als je een ISMS hebt, die je voor ISO27001 nodig hebt, dan ben je al heel ver.

Ver misschien maar de NIS2 gaat nog wel een stukje verder dan ISO27001 met onder andere:

Meldplicht: De richtlijn schrijft voor dat entiteiten incidenten binnen 24 uur bij de toezichthouder moeten melden.

Toezicht: Organisaties die onder de richtlijn vallen, komen ook onder toezicht te staan. De NIS2-richtlijn schrijft voor dat een onafhankelijk toezichthouder (buiten eventueel interbestuurlijk toezicht) naar de naleving van de verplichtingen uit de richtlijn kijkt.

Bestuurlijke Aansprakelijkheid:
Onder de NIS2-wetgeving worden bestuursleden hoofdelijk aansprakelijk als ze de regels niet naleven.

[Reactie gewijzigd door Bor op 22 juli 2024 18:21]

RobbieB @Bor • 31 januari 2024 22:22

De enige hiervan die je daadwerkelijk effort kost is de meldplicht. Als je de rest goed doet hoef je je over de andere 2 geen zorgen te maken.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@RobbieB • 31 januari 2024 22:37

Of je je wel of niet zorgen hoeft te maken is de discussie hier niet. Het gaat er om dat de NIS2 op sommige gebieden behoorlijk verder gaat dan ISO270001. De punten die ik noem zijn slechts een aantal voorbeelden waaruit blijft dat de NIS2 wat anders is. Overigens kan toezicht ook nog wel wat impact hebben.

OruBLMsFrl @Bor • 31 januari 2024 23:20

Als je onder NIS2 toezicht hebt, dan ben je Essentieel categorie bedrijf, en had je ook onder NIS1 al toezicht in haast alle gevallen. NIS2 breidt flink uit, maar vooral in reactieve zin. Onderscheid is tussen Essentiële bedrijven en Belangrijke bedrijven. Blijkt achteraf dat je de boel niet op orde had, dan kun je een boete krijgen. Wanneer de toezichthouder het nodig acht, dan kun je met toezicht te maken gaan krijgen. Maar standaard gaat er voor Belangrijke bedrijven vrijwel niets veranderen of gebeuren dus.
Die toezichthouder is nog niet bekend, en als het zoiets wordt als met de Autoriteit Persoonsgegevens, nog zo een onderbezette club die nog maar nauwelijks inflatiecorrecties krijgen laat staan budgetverhoging, dat verzuipt in kleine meldingen terwijl ze zelfs aan grote meldingen maar mondjesmaat toekomen, blijft dat ook nog wel wat jaren zo.
Harde kritiek, maar de EU gaf een perfecte voorzet om het goed te doen met een compleet boekwerk aan input en vervolgens maakt Dilan dit Nederlandse drama met haar politieke vriendjes mogelijk.... terwijl andere lidstaten het wel gaan halen. Vermoedelijk heeft dan de VVD bevriende bedrijvenkring het hier moeilijk mee, des te meer reden waarom je er als integer politicus werk van zou moeten maken, maar helaas, die krijgen we deze politieke stoelendans ronde ook na Rutte niet lijkt het zo als dit een graadmeter is voor Nederland mede bestuurd door Dilan.

https://www.ncsc.nl/over-...ie/samenvatting-richtlijn
Essentiële entiteiten vallen onder een intensiever regime van toezicht, waarin zowel voor- als achteraf toezicht wordt gehouden op de naleving van de verplichtingen. Voor belangrijke entiteiten geldt een lichtere vorm van toezicht, dat alleen achteraf plaatsvindt. Bijvoorbeeld als er aanwijzingen voor niet-naleving van de wet zijn of als er een incident heeft plaatsgevonden.

[Reactie gewijzigd door OruBLMsFrl op 22 juli 2024 18:21]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@OruBLMsFrl • 31 januari 2024 23:32

Als je onder NIS2 toezicht hebt, dan ben je Essentieel categorie bedrijf, en had je ook onder NIS1 al toezicht in haast alle gevallen.

De NIS2 breidt uit wat betreft sectoren die er onder vallen ten opzichte van de NIS1. Sommige sectoren gaan daarom van "niets" naar NIS2 met toezicht etc.

OruBLMsFrl @Bor • 31 januari 2024 23:43

Ok, welke grote sectoren vallen dan straks onder "Essentieel" en niet onder NIS1? Die bron van mij, lijkt dat alles mee te vallen, en komt er vooral een berg sectoren bij van categorie "Belangrijk", maar die hebben dan geen toezicht tenzij ze individueel worden aangewezen straks door de nog niet bepaalde toezichthouder.

En die toezichthouder zal daar normaals in praktijk vermoedelijk net als de AP veel te druk met andere zaken voor zijn, tenzij er excessen optreden bij "Belangrijke" bedrijven die toch stiekem bij een cybersecurity incident de maatschappij meer verstoren dan ze op basis van "Belangrijk" verwacht hadden. Dat zijn politieke sluiproutes en compromissen om mensen te laten stemmen voor een voorstel, terwijl het vervolgens in de praktijk vertaling ervan zo goed als onuitvoerbaar gemaakt wordt door beperkt budget en middelen van dat soort toezichthouders.

[Reactie gewijzigd door OruBLMsFrl op 22 juli 2024 18:21]

sprankel @OruBLMsFrl • 1 februari 2024 03:54

NIS1 kwam eigenlijk neer op je bent een grote energiespeler met kerncentrales, je valt eronder. Je bent een een grote bank, je valt eronder. Je hebt een internet exchange? Je valt eronder.

NIS2, je hebt toevallig een kleine turbine staan welke een beperkte opwekking heeft? Je valt eronder. Je verwerkt wat backoffice loonadministratie? Je valt eronder. Je verkoopt wat adsl abbonementjes aan consumenten? Je valt eronder. Je doet ook maar iets van publieke diensten, van het postkantoor tot de afvalverwerking? Je valt eronder. Distributiecenter van de Albert Heijn, ja hoor, valt eronder.

Er vallen nu dus veel meer bedrijven onder waar veel meer werk aan de winkel zal zijn. Een grote vleesverwerkende fabriek zijn cybersecurity beleid is om mee te lachen, als ze uberhaupt al een beleid hebben, maar morgen moet die wel plots voldoen aan NIS2 want is een kritiek (geen essentieel) bedrijf. Dat is een heel ander verhaal dan NIS1 waar ABN Amro aan moest voldoen wat neer kwam op een audit, oke het is eigenlijk al in orde, doe zo verder.

OruBLMsFrl @sprankel • 1 februari 2024 07:37

Die hele levensmiddelen sector is aangemerkt als Belangrijk, niet Essentieel. Lees het nog eens rustig na stel ik voor, want zo blijven we langs elkaar praten. Belangrijk krijgt niet eens audit volgens mij onder NIS2, enkel reactief beleid lees ik tot zover.

Mash_nl @OruBLMsFrl • 1 februari 2024 10:56

Belangrijke entiteiten worden inderdaad niet periodiek (lees jaarlijks) getoetst zoals dat bij Essentiële het geval gaat zijn, maar wel steekproefsgewijs. Er is in deze ook niet slechts één toezichthouder (zoals de AP in het geval van de AVG), maar er zal per sector een toezichthouder aangesteld worden (dezelfde waar je bij moet zijn met je melding), die op zijn/haar beurt weer andere organisaties kan en mag mandateren voor het uitvoeren van "Wbni 2 audits".

NIS2 gaat in feite ook veel meer over hoe je je cybersecurity gerelateerde aanpak op nationaal niveau moet inregelen als land, dan dat het puur op individuele organisaties richt. Maar door de manier waarop artikelen 20 en 21 in elkaar zitten kom je niet meer weg met "ich habe es nicht gewusst". Je zult een organisatiebrede, risico gedreven aanpakken moeten gaan hanteren waarbij niet enkel de belangrijkste assets in scope zijn. En je zult over je keten heen moeten gaan kijken, of te wel hoe zit het met/bij je toeleveranciers, is dat risico voldoende gemitigeerd.

Dat zijn hele serieuze opgaves, zeker voor organisaties die voorheen onder geen enkele toezichthoudende instantie of compliance vereisten vielen.

Daarnaast verwacht ik dat er nog een heel ander fenomeen gaat optreden, namelijk je hebt straks organisaties die onder NIS2 vallen en dus sneller veiliger en weerbaarder worden, en organisaties die er vooralsnog niet onder vallen en er dus minder aandacht voor hebben.... wie zou jij aanvallen als crimineel?

En deze variant is natuurlijk ook interessant: https://www.databreaches....sing-a-breach-to-the-sec/. U bent niet compliant of u doet geen melding, dan doen wij het voor u.....

[Reactie gewijzigd door Mash_nl op 22 juli 2024 18:21]

OruBLMsFrl @Mash_nl • 1 februari 2024 18:50

Zulke meldingen over andere bedrijven zetten natuurlijk ook enkel zoden aan de dijk bij mega bedrijven, of beursgenoteerde bedrijven. Blijft dat er puntje bij paaltje maar nauwelijks capaciteit zal zijn voor audits vanuit die toezichthouders per sector. WBNI ken ik ook weer als Essentiële sector audits trouwens zoals hieronder in het artikel.
nieuws: Agentschap Telecom gaat toezicht houden op digitale beveiliging zonne...

Die audit capaciteit gaat op basis van alle ervaring uit het verleden met overheidshandelen in Nederland in praktijk nog jaren op aan Essentiële entiteiten eerst, beursgenoteerde ondernemingen, en zwaar gebukt onder personeelstekorten in de sector en onwilligheid om meer te betalen. Ze gaan echt niet tientallen auditors voor een tiental sectoren vinden op dit niveau van ICT security, die mensen zijn er nu al nauwelijks te vinden, aangrenzende beroepsgroepen kampen ook al met tekorten.

Ik vind ook dat er veel meer urgentie naar cybersecurity mag, en dat fenomeen van andere bedrijven zijn straks nog meer de klos: helemaal eens. Tegelijk gaat dit niet de grote Wende brengen, als ze wetgeving deadlines niet eens halen in Den Haag omdat er geen politiek gevoel van urgentie is, en het toch groter dan verwacht is voor arme Dilan die de omvang hiervan zelf al nicht hat gewusst, gaat er straks al helemaal geen groot budget voor zijn en dus ook geen grote praktijkactie op komen. En cybersecurity, gaat nu juist om praktijk, als je niet zelf van dichtbij een incident ervaart, kom je enkel met (grote) druk in beweging als je dat niet al gedaan hebt ondertussen.

Vaevictis_ @OruBLMsFrl • 1 februari 2024 11:24

Ik vind het wel verwarrend essentiele entiteiten en vitale infrastructuur worden nu door elkaar gebruikt. Overigens moet je als multi national gewoon de Europese richtlijnen volgen. Heb dit laatst voor een klant deels uitgewerkt. Vooral in vitale infrastructuur is er een hoop achterstand iso 27001 is al uitzonderlijk.

Dr.Dree @Bor • 31 januari 2024 23:25

In een ISO27001 / 27002 implementatie zal de NIS2 toegevoegd worden. Een van de eisen binnen ISO2700x is "voldoen aan regelgeving, wetgeving en industriestandaarden". De scope van 2700x zal voor alle instellingen die moeten voldoen aan NIS2 dus worden uitgebreid,

ZeromaNoiS @Dr.Dree • 1 februari 2024 00:08

De scope van een ISO certificering is nou weer net iets anders en die blijft in principe gewoon gelijk. Tenzij het bedrijf de scope van hun certificering wijzigt.

[Reactie gewijzigd door ZeromaNoiS op 22 juli 2024 18:21]

Dr.Dree @ZeromaNoiS • 1 februari 2024 08:41

Klopt helemaal

Binnen de scope van de certificering zal NIS2 als extra wetgeving meegenomen moeten worden.

Prometheus1987

@Bor • 31 januari 2024 22:34

Daarnaast zegt de ISO27001 alleen dat je beheersmaatregelen moet hebben getroffen voor de betreffende controls, maar niets over de kwaliteit en diepgang van die maatregelen. Dat mag je namelijk als bedrijf zelf bepalen. NIS2 zal veel meer diepgang vereisen op verschillende controls.

SunnieNL

@Snow_King • 31 januari 2024 22:58

Niet alleen de processen moeten in orde zijn, ook de technische maatregelen en je moet controleren of de maatregelen ook doen wat je in gedachten hebt. Het is dus wel iets meer dan alleen iso27001. Bij een audit zal je moeten aantonen dat je technische maatregelen doen wat ze horen te doen (een jaarlijkse pentest is dus vrijwel verplicht)
En alleen als je alles in orde hebt ga je ook de richtlijnen van de meldplicht halen.

Om nog maar niet te spreken over het feit dat het ook nog eens gaat over je totale supply chain waarvoor je de risico’s in kaart mag gaan brengen.

De BIO wordt niet voor niets extra aangepast ivm de nis2.

Maargoed, dit nieuws van uitstel kwam niet als verrassing. De consultatieronde zou eigenlijk juli vorig jaar zijn, werd toen november, december, januari en nu hopelijk voor de zomer. Dus het was al wel duidelijk dat oktober zeker niet gehaald ging worden. Naar mijn idee is alles gewoon op de plank blijven liggen tot na de verkiezingen en komen ze er nu achter dat het nog best veel werk is.

Golodh @SunnieNL • 1 februari 2024 13:03

Een goed punt waar men in de NL cultuur m.i. bijna altijd overheen leest.

Men wil graag gerustgesteld worden en zoekt dat dan in allerlei certificeringen en procesvereisten. Want dat kan je simpel zien en simpel controleren in de zin van "Staat daar nou een vinkje of niet?". Daar kan je dan weer mooie dashboards en statistiekjes van maken, en je bent voorlopig van het gezeur af.

Helaas, dat gedoe met die certificeringen en richtlijnen op processen geeft alleen maar aan wat je minimaal aan de proceskant moet doen, maar zegt helemaal niets over de effectiviteit van je maatregelen (dat zijn immers meer technische zaken, en dat wordt al snel ingewikkeld en lastig te verifieren).

Dat er in de Westelijke wereld wel degelijk een probleem is moge duidelijk zijn, en op zijn laatst uit dit berichtje: https://edition.cnn.com/2...cking-analysis/index.html

Volgens deze FBI directeur is de VS electronische infrastructuur zo lek als een mandje, rijp om onderuit gehaald te worden door een cyber aanval, en zo verknoopt dat je maar een klein deel succesvol hoeft te kunnen aanvallen om het gehele land plat te leggen. Zou het in NL zoveel beter gesteld zijn denk je?

Het goede nieuws is dat er van die NIS1 en NIS2 richtlijnen zijn. Immers van de in EU vrband onderzochte transport sector geeft ca. 55% van de ondernemeingen aan uitsluitend aan cyberbeveiliging te doen om aan voorschriften te voldoen. Zie https://www.enisa.europa....nis-investments-2023?v2=1 Blijkbaar is het bedrijfseconomisch gezien onzinnig om geld te spenderen aan beveiliging (anders deed men het uit zichzelf wel).

En dat is meteen ook het slechte nieuws. Bedrijven doen het alleen maar omdat het verplicht is, en zullen dus altijd de allergoedkoopste manier opzoeken om dat vinkje te scoren (al het andere is immers weggegooid geld).

Wat denk je dat dit betekent voor de effectiviteit van de technische beveiligingsmaatregelen?

Tortelli

@Snow_King • 31 januari 2024 21:29

Wij hebben dit allemaal voor elkaar, laten ons op security testen etc. Alleen een 27001 haal ik bewust niet zolang we niet "verplicht worden" dit te doen door opdracht gevers. Kosten en enorme druk op de organisatie (x dagen audit) kost veel teveel tijd (naast de verschillende audit's die we toch al hebben).

[Reactie gewijzigd door Tortelli op 22 juli 2024 18:21]

latka @ernstoud • 31 januari 2024 21:21

Het is bijna goedkoper om alle computers het bedrijf uit te gooien en pen en papier te gaan gebruiken. Scheelt een hoop richtlijnen en regels....

Tortelli

@latka • 31 januari 2024 21:26

Exact dat, niets tegen regels maar de regeldruk voor bedrijven rijst de pan uit de laatste tijd. Veel zaken ook die weinig toevoegen. Het is voor kleinere bedrijven (< 100 medewerkers) serieus lastig om overal aan te voldoen wat de overheid eist. Je bent te klein om overal een specialist voor te hebben (kan kostentechnisch niet uit), iemand uit de “productie” halen is zo goed als onmogelijk door personeelsgebrek dus komt het op de eigenaar aan. Groot deel van mijn tijd gaat op aan dit soort zaken. In de tijd die je overhoudt mag je vervolgens ook nog proberen je bedrijf draaiende te houden.

SgtElPotato @Tortelli • 31 januari 2024 23:20

En dan raar opkijken dat veel kleine bedrijfjes het zo moeilijk hebben. De audits duren vaak te lang, zijn onnodig complex en niet haalbaar, dit moet toch veel makkelijker kunnen?

Een simpele back-up is vaak stap 1 zodat er bij nood een herstel uitgevoerd kan worden, voor velen meer dan genoeg. Dan kan de bedrijfsvoering weer snel opgestart worden.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@SgtElPotato • 31 januari 2024 23:40

Een simpele back-up is vaak stap 1 zodat er bij nood een herstel uitgevoerd kan worden, voor velen meer dan genoeg. Dan kan de bedrijfsvoering weer snel opgestart worden.

Informatiebeveiliging is zo veel meer dan dat. Een simpele back-up is slechts een maatregel tegen een beperkt aantal risico's. Het totale speelveld is veel en veel groter. Het gaat om risico management als proces.

[Reactie gewijzigd door Bor op 22 juli 2024 18:21]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@SgtElPotato • 31 januari 2024 23:39

Afhankelijk van de sector waarin het bedrijf opereert is het geheel fijnmaziger:

Een belangrijk verschil met de eerste NIS-richtlijn is dat organisaties automatisch onder de NIS2-richtlijn vallen als zij actief zijn in bepaalde sectoren en volgens de bepaalde criteria gekenmerkt kunnen worden als ‘essentiële’ of ‘belangrijke’ entiteit.

Essentiële entiteiten:
Organisaties die volgens de CER-richtlijn zijn aangewezen als kritieke entiteit zijn automatisch een essentiële entiteit volgens de NIS2-richtlijn. Grote organisaties die actief zijn in een sector uit bijlage I van de NIS2-richtlijn. Een organisatie is groot op basis van de volgende criteria: minimaal 250 werknemers of; een jaaromzet van meer dan 50 miljoen euro en een balanstotaal van meer dan 43 miljoen euro.

Belangrijke entiteiten:
Middelgrote organisaties die actief zijn in een sector uit bijlage I en middelgrote en grote organisaties die actief zijn in een sector uit bijlage II. Een organisatie is middelgroot op basis van de volgende criteria:
minimaal 50 werknemers of; een jaaromzet en balanstotaal van meer dan 10 miljoen euro.

ernstoud

@Tortelli • 31 januari 2024 21:58

Totdat je als klein bedrijf gehackt wordt en je als manager zegt “had ik maar”.

Ik heb dergelijke managers aan de telefoon gehad. Alles weg, geen administratie meer, niet meer kunnen factureren. Dan is het snel gebeurd.

Ja, veel regels. Maar die regels pragmatisch implementeren kan. Ik heb 27001 projecten gedaan van jaren omdat het over enorm kritische processen ging en van weken als het pragmatischer kan.

Voorbeeld: de regels zeggen dat je beleid moet hebben maar niet hoeveel tekst dat moet zijn. Bij ING een boekwerk, bij een kleinere minder risicovolle onderneming kan het een poster aan de muur zijn.

Maar wat doet dat kleine bedrijf? De consultant inhuren die de truc eerst bij ING gedaan heeft en bij dat kleine bedrijf dan ook een encyclopedie gaat schrijven tegen 150 euro per uur.

mjl @ernstoud • 31 januari 2024 22:40

Ook bij een groot bedrijf kan je het simpel houden

ernstoud

@mjl • 31 januari 2024 23:03

Vaak niet. Te complexe processen, teveel belangen, teveel mensen die meepraten, teveel toezichthouders, teveel risico…

Een poster aan de muur over Security kan bij een reclamebureau genoeg “beleid” zijn als de mensen het begrijpen. Bij een kerncentrale kom je daar (terecht!) niet mee weg (weet ik uit ervaring).

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@ernstoud • 31 januari 2024 23:34

Een poster aan de muur is natuurlijk geen "beleid". Dat kan je moeilijk hard maken wanneer de auditor of toezichthouder op bezoek komt lijkt mij.

ernstoud

@Bor • 31 januari 2024 23:49

Ik heb honderden bedrijven geauditeerd voor KEMA/Dekra, BSI en DNV.

En als jij kunt laten zien dat die poster aan de muur dat wat je als management wil, uitdraagt, dat de boodschap begrepen wordt en ook opgevolgd wordt, dan krijg je van mij een pluim!

In 27001 staat niets over de inhoud van beleid. Dat mag je zelf vormgeven. Als het management er maar achter staat en het doel bereikt wordt.

Te vaak denken mensen nog dat normen papieren tijgers zijn. Nou, met een paar pagina’s tekst, een pdf, een voorlichtingsfilm, wat mij betreft dilbert of Fokke/Sukke cartoons kun je ook een eind komen!

Tortelli

@ernstoud • 31 januari 2024 22:44

Ik schetste niet mijn eigen situatie maar een voorbeeld, waarschuw voornamelijk collega ondernemers de laatste tijd

. Veel (oudere) ondernemers beseffen zich dit soort zaken echt niet.
Zit wel in het MKB maar wij laten ons pentesten etc. Ook met het oog om een keer verplicht te worden 27001 te halen (en de stap dan niet groot meer is), maar zoals ik ook aangaf in een reactie hieronder stel ik de 27001 uit zolang dit niet verplicht wordt door een van mijn klanten. De kosten en tijdsinvestering hiervan zijn erg groot en we hebben al een waslijst aan zaken die we jaarlijks laten auditten.

[Reactie gewijzigd door Tortelli op 22 juli 2024 18:21]

ernstoud

@Tortelli • 31 januari 2024 23:07

Nooit doen omdat je klant het wil (nou ja, wel als de klant wegloopt en er dan teveel consquenties zijn) maar omdat je er zelf nut van hebt.

Belangrijkste nut van certificering is de stok achter de deur. Die auditor komt elk jaar en je kunt het certificaat kwijt raken en dat is geen feestje. Die stok achter de deur om dan je zaakjes op orde te hebben is soms nodig. Eigenlijk zou het zonder moeten maar toch.

kars noordhuis @ernstoud • 31 januari 2024 22:38

Maar wat doet dat kleine bedrijf? De consultant inhuren die de truc eerst bij ING gedaan heeft en bij dat kleine bedrijf dan ook een encyclopedie gaat schrijven tegen 150 euro per uur.

Jup, zo'n gast hebben wij ook gehad (voor een andere norm) met een zelfde resultaat. We zijn nu eerst wat aan het uitvogelen wat we uit alle procedures kunnen schrappen om het werkbaar te houden.

ernstoud

@latka • 31 januari 2024 21:23

Ik vrees dat je het verkeerd ziet. Ook voor gegevens op het medium papier moet je een management systeem voor informatiebeveiliging inrichten.

latka @ernstoud • 31 januari 2024 23:27

Was wat gekscherend bedoelt, maar ik heb serieus directeuren dit horen verzuchten. Zeker die al wat langer meelopen. De hoeveelheid extra regels om gewoon iets te doen worden zo groot dat je als kleine club met lage marges een steeds grotere uitdaging hebt om hier aan te voldoen.

ernstoud

@latka • 31 januari 2024 23:54

Natuurlijk, ondernemen (ben er zelf een) is tegenwoordig niet altijd fun.

Maar ik verbaas me wel over het feit dat een ondernemer soms meer tijd besteedt aan selectie van lease auto’s of koffie apparaat dan aan de bescherming van meestal de belangrijkste asset; de informatie van het bedrijf.

Ik zie wel verschil, jongere managers begrijpen dit beter.

Triblade_8472 @latka • 31 januari 2024 21:28

Is dat zo?

Kan je papier niet verkeerd verwerken of foute gegevens bevatten? Moet je het niet archiveren of juist vernietigen?

Wat nou als er collega's mee kunnen kijken terwijl het gevoelige gegevens zijn? En hoe sluit je de toegang ertoe af als je naar de wc gaat?

En thuiswerken wordt er ook niet makkelijker op. Het vervoer is natuurlijk een ding (vergeten in de trein, anketassen met sloten enz) . Laat staan familieleden die iets kunnen inzien. Of de hond die het opeet.

Dan nog de open ramen waar het uit kan waaien. Is er een richtlijn voor open ramen met windkracht 7?

Ik verwacht niet minder richtlijnen en regels eigenlijk.

kars noordhuis @Triblade_8472 • 31 januari 2024 22:33

O god dan moet ik ook nog NEN 379:2003 aanschaffen (op papier natuurlijk) en naleven. Dat wordt een gestoei met A2 en A0 vellen papier.

anketassen met sloten

houd mes omhoog hier met die poen!
Jamaarjamaar ik heb alleen maar een intekenlijst voor het bedrijfsuitje stamelt truus van het secretariaat

MOmax @ernstoud • 1 februari 2024 06:36

Dat geldt misschien voor IT infrastructuur, maar niet voor OT. Daar is de IEC 624443-reeks toch echt meer geschikt en van toepassing.

ernstoud

@MOmax • 1 februari 2024 11:53

En toch vereisen dan toezichthouders zoals Tennet toch ook 27001. Je kunt OT niet veilig maken zonder IT mee te nemen. Denk bijv. aan de notebook van een OT engineer.

MOmax @ernstoud • 1 februari 2024 12:12

IEC 62443 is nooit een eis, maar het is erkend door veel stakeholders als een nuttige norm om het Purdue-model te implementeren.
(Ben zelf betrokken bij een overheidsinstantie met NIS2 kritische infrastructuur).

FastFred 1 februari 2024 09:04

Ondanks het ontbreken van wetgeving zegt de minister dat bedrijven zich alvast moeten voorbereiden op de wet

Lol. We weten nog niet wat de regels gaan worden maar je moet je er wel aan houden

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@FastFred • 1 februari 2024 11:57

Dat er geen wetgeving is momenteel betekent niet dat het niet op hoofdlijn duidelijk is wat er nodig zal zijn. Pak de hier veelgenoemde ISO 27001 en je bent al een aardig eind op weg. De details ontbreken nog.

CivLord

@FastFred • 1 februari 2024 12:57

De wet wordt gebaseerd op de EU-richtlijn die er al is. Dat geeft je al heel veel houvast bij het voorbereiden. De Nederlandse wet zal nog wat landspecifieke details toevoegen maar vooral de wet inpassen tussen de reeds bestaande wetten waar raakvlakken mee zijn.

MacGyverNL 31 januari 2024 21:49

Ik meen me vagelijk iets te herinneren dat als een lidstaat een richtlijn niet voor de deadline implementeert, en dat jou benadeelt, je dan als burger dat aanhangig kunt maken bij het nationale rechtssysteem en uiteindelijk terechtkomen in het Europese rechtssysteem, waar de lidstaat gedwongen kan worden dit te rectificeren. Maar ik kan daar nu zo snel niets over vinden; ik vind alleen maar procedures die de Europese Commissie zelf kan instellen jegens de lidstaat.

Dus 1) weet iemand of dit bestaat, of hallucineer ik dit volledig, en 2) als dit inderdaad een ding is, kunnen benadeelde organisaties (ik vermoed vanwege concurrentiepositie of rechtsonzekerheid of dat soort dingen) eenzelfde pad bewandelen?

[Reactie gewijzigd door MacGyverNL op 22 juli 2024 18:21]

sambalbaj @MacGyverNL • 31 januari 2024 21:59

Dat gaat volgens mij over het echt weigeren van een lidstaat om iets in te voeren.

Wat hier mist, en wel een belangrijke vraag is, is of Nederland de enige lidstaat is die het niet gaat halen of dat misschien nauwelijks een lidstaat het lukt.
We weten nu de positie van Nederland hierin binnen Europa niet en daarmee kan je geen zinnige uitspraak doen over enige benadeling.

Scoro 31 januari 2024 22:47

Ik houd de voortgang al een tijdje in de gaten en moet zeggen dat ik dit een jammerlijk signaal vind.
Elke keer krijg je nieuwe datum te horen voor de wetsconsultatie. Het is niet alsof het niet bekend was dat dit eraan zat te komen.

Als je terugkijkt naar de presentaties vanuit de EU waarom de NIS2 er is gekomen (Corona/Rusland oorlog/ ect) dan is het logisch dat er een Zorgplicht komt met actieve toezicht.

Want laten we eerlijk wezen dat een reactieve toezicht zoals de AVG met de AP een verschil gaat zijn met actieve toezicht bij de NIS2 (bij essentiële partijen).
Vooral binnen de overheid is het met de gebrekkige vertaling van de ISO27001/2 naar de BIO een focus op vinkjes behalen en van risicomanagement geen sprake.
Verder dan Opzet en Bestaan komt men niet. Werking valt buiten scope.

Ook moeten we nog maar zien wat de BIO2.0 brengt die nu gecombineerd is met de NIS2.
Een mooie "livegang" gaat het al niet meer worden. En dat doet geen goed aan de boodschap.

CivLord

@Scoro • 1 februari 2024 12:55

Het is niet alsof dit de enige wetgeving is die ingevoerd gaat worden. Het is ook niet alsof je onbeperkt mensen beschikbaar hebt die én voldoende kennis van de materie hebben én in staat zijn dat om te zetten in wetgeving. En het is ook niet alsof deze wetgeving in een vacuüm ingevoerd kan worden zonder invloed te hebben op bestaande wetten (de al dan niet aangepast moeten worden).

Het maken van wetten moe zorgvuldig gebeuren. Gaandeweg kan blijken dat er complicaties ontstaan met bestaande wetten, die opgelost moeten worden, of zijn er andere wetten die even wat meer aandacht vragen, waardoor de deskundigen met andere zaken bezig zijn.

Frame164 1 februari 2024 09:22

Eigenlijk is deadline voor dit soort onderwerpen niet de juiste term. De datum is slechts iets om naar toe te werken. Mocht het later worden, dan is het jammer maar er is op 18 oktober niet een acuut probleem. Een deadline is dat je je carnavalswagen voor de optocht klaar moet hebben. Als die pas na carnaval klaar is, heb je een probleem want dan heb je er niets meer aan. Of dat de geluidsinstallatie op Pinkpop pas een week later werkt.

kodak

Beveiliging en antivirus
Nederland
Politiek en recht

@Frame164 • 1 februari 2024 15:35

Het is wel degelijk een probleem, juist omdat de afspraken en eisen om wetgeving te hebben er juist zijn omdat het vanaf dat moment wettelijk anders moet dan nu. En hoewel er bij het niet halen gevolgen zijn die je maar redelijk kan vinden geeft dat niet zomaar de nodige verandering en bescherming. Terwijl dat nu juist redenen zijn waarom we in de EU zelfs de wet moeten aanpassen. De bedrijven en organisaties voeren de nodige veranderingen niet zomaar uit.
Het op tijd een wet vormen en in werking kunnen laten treden is in onze rechtsstaat geen kleinigheid wat makkelijk afgedaan kan worden als niet zo erg als een lidstaat zich er niet aan kan houden. Eerder juisf nogal ernstig. Daarom is het ook zo opvallend dat er geen verantwoording is hoe dit komt. Want als rechtsstaat hoor je juist transparant te zijn over de redenen dat men de deadline niet haalt.

harrie_1 1 februari 2024 09:54

Als je ISO27001 controls hebt geimplementeerd ben je natuurlijk al en heel eind.
Uitdaging ligt denk ik vooral tussen het IT en het OT landschap. Daar waar veel controls binnen IT al geimplementeerd zijn en zo niet, makkelijk te implementeren zijn, ligt dat binnen het OT landschap echt anders, daar zijn nog veel uitdagingen om aan de richtlijnen van de NIS2 / ISO27001 te voldoen.

Pinkys Brain 1 februari 2024 10:08

Ik denk dat het allemaal alleen maar slechter word. Aanvalsoppervlak word in het voorbijgaan nog wel eens genoemd, maar dat is geen vinkje op de pentest lijst. Onderhand word zero trust gebruikt om vervelende VPNs maar op te doeken, terwijl dat in 99% van de gevallen het minimale oppervlak heeft en prima toepasbaar is.

Ja, slechte VPNs zijn er ook zat maar als een VPN al niet veilig gemaakt kan worden kan je nog zoveel procedure ertegenaan gooien, maar is het toch een verloren zaak als er iemand serieus naar de code kijkt. Eerst een goede VPN, dan de rest.

HSG 1 februari 2024 15:58

Je verwacht het niet.

Op dit item kan niet meer gereageerd worden.

Nederlandse overheid haalt deadline voor NIS2-securityrichtlijn in oktober niet

Lees meer

Reacties (53)

Sorteer op:

Weergave: