NIS2: voer voor juristen, voor IT'ers — of voor allebei?
NIS2 heeft alles te maken met de veiligheid van onze data en de weerbaarheid van onze essentiële en belangrijke sectoren. Sebastiaan ter Wee over cybersecurity compliance, de rol van de Chief Information Security Officer en de noodzaak om bruggen te slaan. En natuurlijk over het belang van informatiebeveiliging — voor welke partij dan ook.
Sebastiaan ter Wee werd in 2009 advocaat in Brussel en later in Den Haag. In 2015 werd hij bedrijfsjurist bij Aegon, in 2023 nam hij daar afscheid als Group Chief Privacy Officer en Head of Legal Digital. Sindsdien is hij Partner Digital Regulations bij Deloitte. Sebastiaan woont met zijn vrouw en twee dochters in Rotterdam.
Opens in new window
Om te beginnen: is NIS2 eerder een onderwerp voor juristen of voor de IT-afdeling?
"Om die vraag te beantwoorden moeten we eerst even kijken naar een belangrijk verschil tussen de Europese aanpak en de Amerikaanse. Dan heb ik het specifiek over privacy versus beveiliging. In Europa hebben we, met de komst van de Algemene verordening gegevensbescherming (AVG) enkele jaren geleden, bijgedragen aan het vormgeven van het grondrecht op de bescherming van privacy. Dat leverde in eerste instantie vooral papieren controles op: documentatie van beleid en processen. Er was minder aandacht voor technische waarborgen. In die eerste jaren sinds 2016 waren het dan ook vooral juristen die met de AVG aan de slag gingen. De functionaris voor gegevensbescherming werd vaak gedefinieerd als een compliance-functie en niet zozeer als een meer technische functie. Maar... daardoor was er vaak onvoldoende aandacht voor informatiebeveiliging, voor data en de kwaliteit daarvan — terwijl de AVG notabene wetgeving is die gaat over het gebruik van data en meer in het bijzonder persoonsgegevens."
En in de VS koos men een andere aanpak?
"Klopt. Daar keken ze minder naar privacy en lag de focus veel sterker op de bescherming van data. Daar werd gelet op oneigenlijke toegang en misbruik van informatie. Bedrijven werden verplicht om waarborgen in te bouwen voor databeveiliging en om flink te investeren in techniek. Daardoor ontstond een complete sector die zich hiermee ging bezighouden, en de functie van CISO werd automatisch een heel zware. Dat leverde op den duur ook bestuurders binnen het informatiebeveiligingsdomein op die kwamen vanuit een technische achtergrond: snel volwassen geworden en met grote aansprakelijkheden. Maar niet perse bestuurders die ook Board, Supervisory Board en Autoriteiten goed te woord konden staan."
Hoe pakte dat verschil uit voor Europa?
"Zo rond 2021 constateerden we dat de Europese aanpak leidde tot twee soorten hiaten. Ten eerste hadden we in praktijk onvoldoende grip op data en de datahuishouding om de GDPR en verwante wetgeving goed te kunnen uitvoeren. En ten tweede was er onbegrip tussen cybersecurity en de juridische afdeling — die spraken te weinig met elkaar. Ze dachten dat ze weinig gemeen hadden, terwijl ze juist heel dicht tegen elkaar aan zouden moeten zitten. Want: geen privacy zonder informatiebeveiliging, en geen degelijke informatiebeveiliging zonder goed beheer en inzichtelijke data. Toen dat inzicht groeide, kreeg informatiebeveiliging ten behoeve van compliance met de AVG een steeds belangrijkere plek."
"Geen privacy
zonder informatiebeveiliging."
Had dat ook te maken met de komst van NIS2?
"Men was al tot de conclusie gekomen dat NIS1 eigenlijk te soft was, te beperkt van scope. Met NIS2 is de scope verbreed, er zit nu ook ketenverantwoordelijkheid en individuele aansprakelijkheid voor bestuurders ingebakken in de wet. En met name dat laatste roept vragen op, al is het maar uit eigenbelang: heb ik wel de juiste mensen en de juiste organisatie opgesteld staan om met NIS2 om te gaan? Is onze CISO wel zwaar genoeg? Zoals al eerder aangegeven zijn veel CISO's vanuit de techniek in zware leidinggevende functies terecht gekomen. Prima, maar de functie vraagt ook serieuze bestuurlijke competentie: je moet teams kunnen aansturen, interne politiek kunnen bedrijven, sparren met toezichthouders als de Rijksinspectiedienst Digitale Infrastructuur of, bij financiële instellingen, de DNB en AFM. Het vraagt dus om een breed profiel, zowel in politiek als techniek én governance. Dus de bestuurdersaansprakelijkheid heeft eraan bijgedragen dat bestuurders veel kritischer zijn gaan kijken naar de kwaliteiten van de CISO maar ook naar het cyberrisico voor de onderneming en het risiciobeheer ervan."
Hoe past de rol van de CISO nu het best in de organisatie?
"Mijn professionele voorkeur: een bestuurder met verstand van techniek. Een CISO maakt bij veel organisaties deel uit van de IT-organisatie. Echter: een Chief Technology Officer of IT-Directeur heeft vaak ook een innovatieagenda. Innoveren kost geld, maar informatiebeveiliging ook. Waar deze twee uit elkaar lopen, kunnen ze met elkaar in conflict raken. En dan doet zich de vraag voor: is er nog wel genoeg budget voor de CISO en zijn informatiebeveiligingsagenda? Overigens, interessant om op te merken: door de jaren heen zijn securityafdelingen gaan inzien dat de juridische afdeling hen kan helpen om het belang van informatiebeveiliging te benadrukken. Immers, vanuit legal of risk is er de wens om gegevens goed te beschermen, ongeacht of die wens nu voortkomt uit de AVG of uit NIS2, uit de Critical Entities Resilience Directive of vanuit een toezichthouder. Dus de juristen en de IT'ers moesten wel bruggen met elkaar slaan, de 'alfa's' en de 'beta's' moesten dezelfde taal leren spreken. Anders gezegd: de jurist moet opschuiven naar de techniek, de techneut moet opschuiven om de wettelijke verplichtingen beter te begrijpen en te helpen implementeren. Het is overigens precies de reden waarom ik sinds een jaar bij Deloitte aan de slag ben. Om die brug te slaan. Ik zie die twee functies absoluut als communicerende vaten."
En wat gebeurt er als die twee functies niet met elkaar praten?
"Dan loop je om te beginnen het risico op non-compliance. Maar er gebeurt nog meer. Als er geen brug geslagen wordt van de wet naar de dagelijkse praktijk, gaan zaken langs elkaar heen lopen, dan gaan afdelingen naar elkaar wijzen. Dat creëert operationele risico's, maar onder NIS2 ook aansprakelijkheidsrisico's voor het bestuur. In de meeste besturen zijn natuurlijk meerdere disciplines vertegenwoordigd, de CEO's, CFO's, CIO's et cetera zullen veelal gezamenlijk verantwoordelijkheid dragen. En dat is een goede zaak."
"Jurist en techneut:
het zijn communicerende vaten."
Je noemde al even de ketenverantwoordelijkheid. Hoe kijk je daarnaar?
"Het zijn doorgaans de juristen die onderhandelen met ketenpartners, niet hun collega's van informatiebeveiliging. Als de juristen alleen zouden letten op juridische risico's, op aansprakelijkheden en vrijwaringen, dan krijg je een mooi contract. Maar zolang je niet óók kijkt naar de informatiebeveiliging ben je vast nog niet compliant. Als het dan mis gaat bij een derde partij die indirect onder NIS2 valt, dan heb je wel een probleem. Bijvoorbeeld: heeft een supermarktketen haar toelevering uitbesteed aan een logistieke partner en wordt die laatste gehackt, dan kan het bestuur van die supermarkt toch een zekere mate van aansprakelijkheid dragen. Dat is een situatie waarin je wilt kunnen terugvallen op een degelijk en compleet contract, niet alleen op de wet. En dan moet daarin ook de informatiebeveiliging goed belegd zijn, waarvoor ook weer nauwe samenwerking nodig is tussen juristen en de mensen van informatiebeveiliging."
Speelt dit bij veel organisaties?
"Bedrijven en instellingen werken op dit moment hard om professionele teams te bouwen die focus hebben op data, informatiebeveiliging en compliance. Deze organisaties moeten vaak van ver komen. Belangrijk om te beseffen dat het hier niet alleen gaat om compliance met NIS2 en de CER-richtlijn, maar bijvoorbeeld ook de AI Act en de Data Governance Act. Er is dus sprake van onbekendheid met het domein en het is vaak een grote kostenpost om die hele machinerie op te bouwen. Voor grote bedrijven hoeft dat geen probleem te zijn, maar in Nederland vallen er onder NIS2 naar schatting 60.000 bedrijven, waarvan het grootste deel MKB'ers in alle soorten en maten — en elk met z'n eigen risicoprofiel. Die zullen flink aan de bak moeten, in Europa moeten we nu eenmaal veel inhalen op het gebied van informatiebeveiliging. En dan loopt de omzetting van de NIS2 richtlijn naar Nederlandse wetgeving ook nog eens achter. Maar laten we niet vergeten waar het om gaat: uiteindelijk is NIS2 er om onze kritieke infrastructuur te beschermen! Nederland is een zeer open netwerkmaatschappij met alle kwetsbaarheden die daarbij horen. We zijn ons in de afgelopen decennia onvoldoende bewust van geweest van de risico's."
Nog even terug naar de bestuurders. Wat hebben zij nodig?
"Bestuurders hadden al een verantwoordelijkheid voor hun taak en droegen al een algemene bestuurdersverantwoordelijkheid, maar in praktijk is er een behoorlijk hoge drempel voordat ze daarop werden aangesproken. Toch verandert er nu wel wat: NIS2 maakt bestuurders ook individueel aansprakelijk voor het stuk informatiebeveiliging in hun onderneming. Die bestuurders moeten daarom getraind worden op informatiebeveiliging. Hoe ziet het dreiglandschap eruit? Waar zitten de grote risico's? Daar is al heel wat kennis voor nodig. Maar je moet óók kunnen beoordelen of de CISO het juiste doet. Als je moet aftekenen op diens beleid, moet je die rapportage over informatiebeveiliging wel snappen."
Nog enkele wijze woorden ter besluit?
"Ik zou met name juristen mee willen geven: zorg dat je proactief en strategisch kunt meedenken. En denk daarbij niet alleen vanuit de wet: dit thema vraagt om risicodenken, om denken in risicogradaties. En dat kan alleen als je in staat bent om technisch én operationeel met je CISO mee te denken. Uiteindelijk ben je een van de twee communicerende vaten, of je bent de brug ertussen."
In deze aflevering gaan we in op de vraag wat NIS2 betekent op het gebied van bestuurdersaansprakelijkheid. Wat kan je doen als bestuurder en wat moet je nu al doen? Lokke Moerel en Sebastiaan ter Wee gaan hierover met elkaar in gesprek onder leiding van Shay Danon.
Opens in new window
