Podium van papier naar uitvoering R egelgeving zoals de Baseline Informatiebeveiliging Overheid (BIO) en het Besluit CIO-stelsel Rijksdienst beschrijven al maatregelen op het gebied van digitale veiligheid. Voor sommige essentiële diensten, zoals het keren en beheren van water, gelden daarnaast aanvullende voorschriften om de data en de geautomatiseerde systemen die hierbij worden gebruikt zo veilig mogelijk te houden. De NIS2-richtlijn (Network & Information Systems) zal, eenmaal vertaald in nationale wetgeving, soortgelijke maatregelen voor de hele overheid afdwingen. Veel meer organisaties krijgen daardoor te maken met: 1) Een wettelijke zorgplicht: actief maatregelen nemen om incidenten te voorkomen en de gevolgen te beperken wanneer ze zich voordoen. 2) Een wettelijke meldplicht: actief melden van incidenten bij de toezichthouder en cyberincidenten bij het Nationaal Cyber Security Centrum (NCSC) dat vervolgens bijstand kan verlenen. 3) Wettelijk toezicht: toezichthouders die de genomen maatregelen controleren en toezien op de naleving van de richtlijnen. In de NIS2 zijn maatregelen voor risico- en incidentmanagement verankerd, met aandacht voor de ketens en netwerken die belangrijke digitale processen bij de (Rijks)overheid ondersteunen. De bredere scope van NIS2 onderkent dat de digitale en fysieke wereld steeds meer met elkaar verbonden zijn. Digitale verstoringen kunnen immers ontwrichtende gevolgen hebben voor de samenleving. Denk maar aan wat er kan gebeuren als hackers onze waterwerken overnemen of het Donorregister platleggen. Maar, zoals ook Bert Hubert – expert op het gebied van digitale veiligheid – terecht opmerkt in de context van de NIS2 en andere aankomende EU-wetgeving op gebied van digitale veiligheid: het gebrek aan regels is niet het probleem. Het probleem is het gebrek aan zorg en aandacht voor digitale veiligheid in de praktijk. In onderzoek van de Algemene Rekenkamer naar informatiebeveiliging blijken die zorg en aandacht belangrijk bij het succesvol inrichten van risico- en incidentmanagement bij departementen en Hoge Colleges van Staat. De inzichten uit die onderzoeken, die we sinds 2017 doen, kunnen van pas komen bij de implementatie van NIS2. Risicomanagement kost tijd en energie Digitale veiligheid is een oneindige wedloop. Techniek veroudert en kwaadwillenden vinden steeds weer nieuwe kwetsbaarheden in software. Het is dus belangrijk risico’s doorlopend in beeld te krijgen én te houden. Tegelijkertijd zijn tijd, expertise en budget beperkt. Een organisatie moet bij de aanpak van informatiebeveiligingsrisico’s dus doorlopend kiezen: Nummer 49, januari 2024 33
34 Online Touch Home