Zoals bekend gaat de Nederlandse overheid de implementatie van de NIS2 naar verwachting niet op tijd halen. Dit heeft niet alleen gevolgen voor de overheid zelf, maar ook voor bedrijven die afhankelijk zijn van haar IT-systemen. Des te meer reden voor bedrijven om proactief hun cybersecuritystrategieën aan te scherpen.
De vertraging komt niet geheel onverwacht. De Europese Commissie had de implementatiedeadline vastgesteld op 17 oktober 2024, maar verschillende voorbereidende stappen liepen al uit, zoals een consultatie die nu pas in de zomer van 2024 wordt verwacht. Experts suggereren dat, ondanks dat andere Europese landen op schema liggen, de politieke prioriteiten in Nederland wellicht verschoven zijn door de demissionaire status van het kabinet.
Neem stappen, vergroot je cyberweerbaarheid
Northwave, een internationaal opererende cyberveiligheidsadviseur en cyberbeveiliger maakt zich zorgen. Men ziet onduidelijkheid over de toepasselijkheid van de richtlijn, de status van buitenlandse vestigingen, en het ontbreken van een aangestelde toezichthouder. Dit creëert significante onzekerheid, vindt men. Daarom adviseert Northwave bedrijven om niet te wachten op de overheid, maar zelf stappen te ondernemen om hun cyberweerbaarheid te vergroten. Feitelijk komt dit overeen met hetgeen Samen Digitaal Veilig al eerder betoogde.
Specifiek wordt bedrijven aangeraden om een assessment uit te voeren om te bepalen of ze onder de NIS2 vallen, een risicomanagementproces voor informatiebeveiliging te implementeren en hun incidentmanagementproces te versterken. Deze acties zijn cruciaal, niet alleen als voorbereiding op de NIS2, maar ook voor het algemeen verhogen van de cyberweerbaarheid van de organisatie. Bovendien zijn er tal van bedrijven die met en voor Europese partners werken, zoals bedrijven in buurlanden Duitsland en België. Daarbij; Hackers trekken zich niets aan van ministeries, landsgrenzen en wetten.
Specifiek voor registeraccountants
De situatie heeft ook implicaties voor registeraccountants, die in hun controlewerkzaamheden rekening moeten houden met de Europese richtlijn, ondanks het ontbreken van nationale wetgeving. Daarnaast moeten bedrijven die aangesloten zijn op de IT-systemen van de overheid, anticiperen op mogelijke aanpassingen die de overheid zal moeten doorvoeren om aan de NIS2 te voldoen, ondanks dat op dit moment geen directe veranderingen verwacht worden dankzij de bestaande Baseline Informatiebeveiliging Overheid (BIO).
(Bron: AccountantWeek)