icon-arrow icon-check icon-mail icon-phone icon-facebook icon-linkedin icon-youtube icon-twitter icon-cheveron icon-download icon-instagram play close close icon-arrow-uturn icon-calendar icon-clock icon-search icon-chevron-process icon-skills icon-knowledge icon-kite icon-education icon-languages icon-tools icon-experience icon-coffee-cup
Werken bij IT Infra Talents
Nieuws 28/02/2024

Jos Maas, trainer NIS2-richtlijn: ‘Ik geef verdieping bij de regelgeving’

NIS2 trainingen

De eerste cursisten hebben hun training over de NIS2-richtlijn bij IT Infra Talents afgerond. Na het behalen van hun examen kunnen zij aan de slag om de cyberveiligheid in hun organisatie te borgen conform Europese regelgeving. De training wordt gegeven door Jos Maas, Senior security expert bij IT Infra Talents. Hij richt zich niet zozeer op de cybersecurity – want die basiskennis is bij de meesten al aanwezig – maar kijkt meer naar de juridische context.

De NIS2-richtlijn, vastgesteld door de Europese Unie in 2022, is de opvolger van ‘NIS1’, de Network and Information Security directive uit 2016. Deze is omgezet in de Wet Beveiliging Netwerk- en Informatiesystemen (WBNI).

“Die eerste richtlijn was bedoeld om de cyberbeveiliging en de weerbaarheid van essentiële diensten in de EU-lidstaten aan te pakken”, legt Jos Maas uit. “Honderd procent cyberveiligheid bestaat natuurlijk niet, maar we proberen met deze richtlijn de kans op cyberaanvallen te verkleinen en ervoor te zorgen dat áls er iets gebeurt, de gevolgen beperkt blijven en organisaties sneller weer zijn hersteld. ”

Harmonisatie in de EU-lidstaten

NIS2 gaat hier dieper op in. “NIS2 moet bijdragen aan meer Europese harmonisatie. Handig voor bedrijven die internationaal werken.” De richtlijn stelt strengere beveiligingsnormen en meldingseisen aan bedrijven en organisaties. NIS2 raakt ook meer sectoren. Post- en koeriersdiensten, afvalverwerking, voedselproductie, digitale infrastructuur, chemische industrie, de gezondheidssector en ruimtevaart vallen er nu ook onder. Toeleveranciers van bedrijven in deze sectoren worden door de ketenaansprakelijkheid indirect betrokken bij het voldoen aan NIS2.

Waar gaat de training over?

Jos behandelt in zijn training vooral de juridische context van de richtlijn. Zaken op het gebied van cybersecurity laat hij grotendeels buiten beschouwing. “Die zijn al bekend bij de deelnemers. De meerwaarde van onze training zit in de verdieping en toelichting van de juridische betekenis van NIS2 en de relatie met cybersecurity.”

Een voorbeeld. Bedrijven moeten bij een cyberdreiging ‘passende maatregelen’ nemen. Maar wat houdt dat in? “Je kunt wel vanuit security-oogpunt passend beveiligd zijn, maar ben je dat juridisch dan ook? En voldoet dat dan aan NIS2? En wat zegt de jurisprudentie hierover?”

“Of neem aansprakelijkheid. Volgens NIS2 kunnen bestuurders van bedrijven en organisaties aansprakelijk gesteld worden bij incidenten. Maar dat betekent niet dat je na iedere cyberaanval zomaar een bestuurder aansprakelijk kunt stellen. Dan geldt nog altijd het aansprakelijkheidsrecht volgens het Nederlandse Burgerlijk Wetboek. Wat ik wél verwacht, is dat bestuurders een zwaardere bewijslast krijgen om aan te tonen dat ze hun zaken rondom NIS2 serieus hebben aangepakt.”

Verdieping

“Dat is de verdieping die ik probeer mee te geven aan de cursisten. Ik merkte aan de reacties dat veel cursisten hierdoor de zaken meer in perspectief gaan zien. Wat ik ze ook altijd voorhoud: het doel van NIS2 is bevordering van de interne markt, daarvoor is de EU ook opgericht. Dat we vlot en makkelijk handel kunnen drijven. Dan is het fijn als elke lidstaat op nagenoeg hetzelfde weerbaarheidsniveau zit. Die richtlijn is er niet om regels strenger of ingewikkelder te maken. Dat moet je in je achterhoofd houden.”

Eigen organisatie NIS2-compliant maken

De training van Jos Maas duurt drie avonden. Wie de training heeft gedaan en het examen heeft behaald, kan het certificaat ‘PECB Certified NIS2 Directive Lead Implementer’ aanvragen. Deze mensen kunnen vervolgens aan de slag om hun eigen organisatie NIS2-compliant te maken.

Overigens is in Nederland de omzetting van de richtlijn in nationale wetgeving uitgesteld, ons land gaat de deadline niet halen. Jos: “De richtlijn gaat op Europees niveau in op 17 oktober van dit jaar, maar in Nederland wordt hij pas in 2025 omgezet in de wetgeving. Organisaties hebben nu dus meer implementatietijd.”

Diverse organisaties, dezelfde uitdaging

Inmiddels is de tweede NIS2-training gestart. Deelnemers komen uit allerlei sectoren. “Ik vind het zelf erg leerzaam om mee te krijgen hoe verschillende typen organisaties met eenzelfde uitdaging omgaan”, zegt Jos. “Die wisselende perspectieven geven mij aanvullende bagage om te gebruiken in volgende trainingen. Hierdoor worden de trainingen inhoudelijk interessanter en neemt de meerwaarde alleen maar toe.”

Overzicht nieuws

Benieuwd wat de experts van IT Infra Talents voor jouw organisatie kunnen betekenen? Neem contact op!