Wij gingen op bezoek bij Stephan Bos, business consultant bij BMGRIP. Hij volgde de NIS2 Certified Professional cursus bij Security Academy en heeft examen gedaan bij SECO-Institute.
Dank! Ik ben heel tevreden over de cursus en het certificaat is natuurlijk een mooie kers op de taart.
Vertel eens in het kort, wat is dat, NIS2?
De NIS2 directive is eind 2022 vastgesteld door de Europese Unie. De richtlijn heeft als doel om de digitale en economische weerbaarheid van de Europese lidstaten te versterken. Op dit moment wordt deze directieve omgezet naar de Nederlandse Cyberbeveiligingswet. Zo willen de lidstaten van de EU de cyberweerbaarheid van de Unie beter beschermen.
Daarom zijn er verplichtingen op het gebied van cyberbeveiliging bij essentiële en belangrijke entiteiten binnen de EU. Cyberdreigingen nemen met de dag toe – de incidenten en verstoringen zijn inmiddels niet meer weg te denken uit het nieuws. Daarom vind ik het goed en belangrijk dat de EU hier een richtlijn voor heeft opgesteld.
Waarom ben je deze cursus bij de Security Academy gaan doen?
Mijn werk is het adviseren en begeleiden van organisaties bij het implementeren van informatiebeveiligingsmanagementsystemen. Dat doe ik in mijn rol als business consultant bij BMGRIP, een adviesbureau dat gericht is op “continue verbeteren”. De afgelopen jaren heb ik samen met mijn collega’s bij BMGRIP veel organisaties geholpen bij het implementeren en certificeren van bijvoorbeeld de ISO 27001 en de NEN 7510.
In mijn rol ben ik betrokken bij verschillende organisaties die te maken gaan krijgen met de verplichtingen uit de NIS2. Ik wil deze organisaties zo goed mogelijk ondersteunen. Daarnaast komen er steeds meer vragen vanuit ons netwerk. Juist het maatschappelijke belang van deze wet spreekt mij enorm aan en het drijft me om organisaties te helpen effectief inrichting te geven aan de nieuwe verplichting. Denk bijvoorbeeld aan de nieuwe meldplicht van storingen – hoe gaan we zo’n proces inrichten? Toen ik zag dat Security Academy een passende cursus aanbood op dit gebied, heb ik mij direct ingeschreven.
Wat heb je opgestoken van de cursus?
De cursus heeft me nieuwe inzichten gegeven over de verplichtingen uit de wet en de relatie tot andere wetten en frameworks. Het onderscheid maken tussen zorgplicht, meldplicht en toezicht heeft me geholpen om de verplichtingen functioneel te structureren. De gesprekken met mede cursisten hebben me vanuit andere invalshoeken laten kijken naar de wet en de wijze waarop deze impact kan hebben op verschillende soorten organisaties.
Alles bij elkaar ben ik nu beter in staat om een plan van aanpak op te stellen voor een organisatie, maar ook om de impact van de wet beter uit te leggen aan de verschillende lagen van een organisatie. Dat helpt om iedereen mee te krijgen in de verandering.
Welke tips heb je voor organisaties die onder de NIS2 vallen?
Het startpunt van effectieve cyberweerbaarheid is een goede risicoanalyse. Als ik organisaties iets wil meegeven dan is het dat: investeer voldoende tijd en energie in het opstellen en uitwerken van je risicoanalyse. Daarbij is betrokkenheid van het hogere management cruciaal. Deze analyse vormt de basis voor al je vervolgstappen – een goed begin is het halve werk.
En wat als je (nu nog) niet onder de NIS2 valt?
De NIS2 richt zicht specifiek op essentiële en belangrijke diensten, maar maakt ook duidelijk dat cyberweerbaarheid gaat om het beheersen van risico’s in een keten. Kortom, zelfs organisaties die niet essentieel of belangrijk zijn volgens de NIS2, kunnen via hun ketenpartners betrokken zijn bij een kritieke keten. Je kunt verwachten dat er een soort “ripple-effect” zal plaatsvinden, waarbij de eisen uit de wet vanuit deze essentiële en belangrijke entiteiten verspreid worden over veel meer organisaties.
Ik raad organisaties dan ook aan om proactief met dit onderwerp aan de gang te gaan. Niet alleen om te voldoen aan de strengere wet- en regelgeving, maar zeker ook om de organisatie effectief te beschermen tegen cyberdreigingen. Daarbij kan een ISO 27001 bijvoorbeeld als goede basis worden gezien. Maar met alleen de ISO 27001 ben je er niet.
De NIS2 legt bijvoorbeeld specifieke eisen op aan de wijze waarop significante incidenten gemeld moeten worden. Die elementen zijn geen vast onderdeel van de ISO 27001. Kortom, ook organisaties die de ISO 27001 hebben geïmplementeerd moeten nog extra stappen nemen om te voldoen aan de NIS2.