In het artikel in de editie van dit magazine van vorig jaar NIS2: kom in cyberactie ging Stephan Hondong in op de nieuwe NIS2-richtlijn die momenteel wordt omgezet naar nationale wetgeving in de Cyberbeveiligingswet. In dit artikel benadrukte hij hoe belangrijk het is om proactief maatregelen te nemen om te voldoen aan deze nieuwe wetgeving. De Cyberbeveiligingswet introduceert striktere eisen rondom cybersecurity. Daarnaast biedt deze wet mogelijkheden voor accountants om hun klanten te ondersteunen bij het implementeren en naleven ervan.
Implementatie in Nederland
De Europese Network and Information Security Directive (NIS2) is sinds 16 januari 2023 van kracht en landen moeten deze voor oktober 2024 omzetten naar nationale wetgeving. Nederland zet NIS2 om naar de Cyberbeveiligingswet. Het is echter al duidelijk dat Nederland de deadline van oktober 2024 niet zal halen.
Het implementeren van een nieuwe wet in Nederland bestaat uit verschillende fases. Van 21 mei tot en met 2 juli 2024 heeft de consultatieperiode plaatsgevonden, waarin iedereen via internet suggesties kon doen voor het verbeteren van de Cyberbeveiligingswet. Nadat de reacties zijn verwerkt, gaat de Raad van State het wetsvoorstel beoordelen, waarna het aan de Tweede Kamer wordt voorgelegd. De exacte datum van implementatie is nog onduidelijk, maar zeker is dat deze niet voor oktober 2024 zal zijn.
Inhoud Cyberbeveiligingswet
De Cyberbeveiligingswet vervangt de Wet beveiliging netwerk- en informatiesystemen (Wbni). Het doel van de wet is een hoger niveau van cyberbeveiliging te waarborgen voor netwerk- en informatiesystemen die essentieel zijn voor de economie en de samenleving. De belangrijkste veranderingen zijn:
- Uitgebreid toepassingsgebied: er vallen meer sectoren onder de wet, waaronder energie, transport, ICT-diensten, gezondheidszorg en financiële infrastructuur. Organisaties moeten zelf beoordelen of zij vallen onder de Cyberbeveiligingswet.
- Strengere eisen: organisaties moeten strengere beveiligingsmaatregelen nemen, zoals een risicoanalyse en hoe te reageren op incidenten.
- Rapportage: incidenten moeten binnen 24 uur worden gemeld bij de autoriteit en binnen 72 uur moet er een gedetailleerd rapport worden ingediend.
- Sancties: niet-naleving kan leiden tot boetes tot maximaal € 10 miljoen of 2% van de totale wereldwijde omzet.
- Verantwoordelijkheid: de bestuursverantwoordelijkheid is aangescherpt, waardoor bestuurders een cruciale rol spelen bij het toezicht op cybersecurity.
Naast deze veranderingen zijn er een aantal belangrijke verplichtingen waarmee organisaties rekening moeten houden:
- Registratieplicht: als organisaties onder de Cyberbeveiligingswet vallen, zijn ze verplicht zich te registreren in het nationale entiteitenregister van het Nationaal CyberSecurity Centrum (NCSC). Raadpleeg de infosheet voor meer informatie over de registratieplicht.
- Zorgplicht: organisaties zijn verplicht een risicoanalyse uit te voeren, op basis waarvan zij passende en evenredige maatregelen nemen voor het beveiligen van hun netwerk- en informatiesystemen.
- Meldplicht: organisaties moeten significante incidenten binnen 24 uur melden bij het Computer Security Incident Response Team (CSIRT) en de toezichthouder. Onder significante incidenten vallen incidenten die de dienstverlening aanzienlijk (kunnen) verstoren.
- Toezicht: organisaties zijn onderworpen aan toezicht waarbij er wordt gekeken of de verplichtingen uit de Cyberbeveiligingswet worden nageleefd.
Proactief handelen
Ondanks dat de implementatie in Nederland is vertraagd, is het aan te raden tijdig te starten met organisaties digitaal weerbaar te maken. Accountants kunnen hierin een adviserende rol aannemen door hun klanten te ondersteunen bij het implementeren van de wet. Daarnaast moeten accountantskantoren zorgen dat hun eigen organisatie tijdig voldoet aan de wet. Accountants kunnen organisaties adviseren de volgende stappen te nemen, maar kunnen ook zelf deze stappen nemen:
- Maak een risicoanalyse: met een risicoanalyse identificeren en beoordelen organisaties de risico’s binnen de netwerk- en informatiesystemen. Accountants kunnen klanten helpen risico’s te identificeren en te beoordelen om een zo goed mogelijke risicoanalyse te maken.
- Implementeer een risicomanagementproces: organisaties moeten bepalen welke maatregelen passend zijn om de gevonden risico’s te beheren. Ook hier kunnen accountants klanten adviseren over mogelijke beheersmaatregelen.
- Implementeer incidentmanagement: organisaties moeten procedures ontwikkelen voor het detecteren, oplossen en melden van incidenten. Op deze manier is een organisatie in staat snel en adequaat te reageren als zij wordt getroffen door een incident. Accountants kunnen hierin ondersteunen door bijvoorbeeld een cybersecurity monitoring tool aan te bieden. Van Oers IT Advies biedt een dergelijke tool aan in de vorm van Cyberalarm. Cyberalarm biedt 24/7 toezicht op de IT-infrastructuur waarbij klanten direct op de hoogte worden gebracht van potentiële inbreuken.
Wwke
Naast de Cyberbeveiligingswet wordt er momenteel een andere wet geïmplementeerd: Wet weerbaarheid kritieke entiteiten (Wwke). Deze wet is onderdeel van de Cyberbeveiligingswet, maar richt zich niet alleen op de netwerk- en informatiesystemen. De Wwke richt zich namelijk op de fysieke beveiliging en weerbaarheid van kritieke infrastructuren en diensten. De focus ligt dus mede op andere vormen van beveiliging dan cyberbeveiliging en op het waarborgen van de bedrijfscontinuïteit. Ook geldt de Wwke voor minder sectoren dan de Cyberbeveiligingswet. In de volgende sectoren kan de verantwoordelijke minister kritieke entiteiten aanwijzen: energie, transport, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, overheid, ruimtevaart en het produceren, verwerken en distribueren van levensmiddelen. Tevens gelden een aantal criteria waarbij de organisatie een of meer essentiële diensten verleent, actief is in Nederland en haar kritieke infrastructuur zich in Nederland bevindt en een incident binnen deze entiteit aanzienlijke verstorende effecten zou hebben op het verlenen van de essentiële dienst(en) of via cascade-effecten op andere essentiële diensten.
Conclusie
De Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten zijn wetten die een belangrijke stap zijn in het versterken van de digitale weerbaarheid van de EU. Beide wetten hebben de doelstelling de veiligheid en continuïteit van essentiële diensten te waarborgen, maar dit wordt gedaan vanuit verschillende invalshoeken. Voor accountants brengt de wetgeving de verantwoordelijkheid met zich mee klanten op juiste wijze te adviseren en te ondersteunen bij het naleven van deze wetten. Zo kunnen accountants bijdragen aan een veiligere digitale omgeving.
Marjon van de Lindeloof is IT Auditor bij Van Oers.
Deze bijdrage komt uit Accountancy Vanmorgen met als thema ICT en kengetallen. Dit magazine is verschenen in september 2024. Zie: https://www.accountancyvanmorgen.nl/kennisdoc/av2-2024-ict-en-kengetallen
Geef een reactie