NIS-2 richtlijn bekeken vanuit publieke waarden

Publicaties en vragen over de NIS 2-richtlijn komen vaak voorbij. De meeste daarvan hebben betrekking op de plichten voor essentiële en belangrijke dienstverleners. Organisaties willen weten wat ze concreet moeten doen om te voldoen aan de richtlijn. Het is een logische vraag, maar het lijkt daardoor of men alleen compliance als doel nastreeft. De NIS 2-richtlijn bestaat voor een reden: de veiligheid van de economie en samenleving in de Europese Unie. Bovendien gaan doelstellingen voor cybersecurity nog verder dan dat. Uiteindelijk gaat het om het beschermen van onze vrijheid en mensenrechten. In dit artikel benaderen wij de NIS 2-richtlijn eens vanuit die doelstellingen. Hiermee hopen wij bij te dragen aan een positieve benadering van cybersecurity: niet omdat het moet, maar omdat we het met ons allen willen. 

Inleiding

Cybersecurity is nog altijd een taai probleem en veel organisaties worstelen met beslissingen, kennis, budget en incidenten. Vaak verzuchten security officers dat hun organisatie alleen in beweging komt na een groot incident of als er wettelijke plichten worden opgelegd. Veel security professionals zijn dan ook tevreden met strengere eisen vanuit Europa, zoals de Cyber Resilience Act en de NIS 2-richtlijn: eindelijk worden regels opgelegd en maatregelen afgedwongen. Niet compliant zijn kan tot boetes leiden. Dat is fijn, nu moeten ze wel... Tegelijkertijd kleven er ook nadelen aan puur compliance-gedreven werken. Het kan leiden tot het afvinken van lijstjes, een onterecht gevoel van veiligheid, of gebrek aan eigenaarschap. Hierdoor kan er een afrekencultuur ontstaan die vooral de tweedelijnsfunctionarissen zal treffen omdat die onterecht worden gezien als eigenaar van cybersecurity problemen. Wanneer cybersecurity wordt benaderd vanuit risico’s voor organisatiedoelstellingen, nemen de proceseigenaren beslissingen over risicobeperkende maatregelen en investeringen. Een cybersecurity benadering vanuit doelstellingen is ook een stuk positiever dan een benadering vanuit boetes. Doelstellingen hoeven niet altijd te gaan over financiële doelen. Publieke waarden zijn ook doelen en in de NIS 2-richtlijn zijn die prima zichtbaar. In dit artikel beschouwen wij de NIS 2-richtlijn vanuit doelstellingen, door middel van een doelenhiërarchie. Wij hopen hiermee duidelijk te maken wat je als organisatie allemaal kunt bereiken en hoe je kunt bijdragen aan een groter maatschappelijk belang wanneer je de cyberweerbaarheid zo goed mogelijk inricht. 

Doelenhiërarchie

Een doelenhiërarchie is een manier om een hoofddoelstelling te splitsen in subdoelen. Zo ontstaan er steeds concretere beschrijvingen van doelen totdat ze het niveau van taken hebben bereikt. Doelenhiërarchieën worden bij projectmanagement gebruikt, maar ook bij persoonlijke coaching, organisatieverandering en systeemontwikkeling. Het is een hulpmiddel om abstracte doelen zoals normen en waarden uit te werken tot het detailniveau van benodigde taakinformatie. Zo weet je altijd hoe je taken samenhangen met elkaar en met hogere doelstellingen. 

Volgens deze gedachte kan een doelenhiërarchie helpen om te begrijpen waarom bepaalde eisen in de NIS 2-richtlijn worden gesteld. Het maakt het mogelijk om activiteiten in je organisatie te sturen vanuit maatschappelijke belangen in plaats vanuit het-moet-van-de-NIS2-argumenten.

Doelstellingen NIS 2-richtlijn

Om te komen tot een doelenhiërarchie zijn we iteratief te werk gegaan. De tekst van de richtlijn is meerdere keren gelezen en zijn stukken tekst gemarkeerd, die doelen en taken beschrijven. Doelen kregen een gele kleur en taken een oranje kleur. Omdat het soms lastig is doelen en taken van elkaar te onderscheiden, is dit proces een aantal keer herhaald en hebben we ons steeds de vraag gesteld of we het eens waren met mijn keuzes. Waar nodig is de hiërarchie aangepast. 

Doelen hangen vaak met elkaar samen en subdoelen kunnen van toepassing zijn op meerdere hogere doelen. Zo wordt in de richtlijn opensourcesoftware in verband gebracht met toeleveringsketens en met innovatie. Het is ook niet altijd makkelijk om taken te onderscheiden van doelen. Veel van de overwegingen en artikelen in de richtlijn zijn taakopdrachten. Bijvoorbeeld artikel 7: ‘een lidstaat moet een cyberbeveiligingsstrategie vaststellen’ is een taak, maar de interpretatie daarvan: ‘een vastgestelde cyberbeveiligingsstrategie’ is een doel voor een lidstaat. Artikel 7 bestaat uit taakeisen die passen bij de 4 doelstellingen op de derde rij van boven in de doelenhiërarchie. Een andere taak, zoals het aanwijzen van een CSIRT (artikel 10) past bij meerdere doelen, waaronder ‘Lidstaten hebben gecoördineerde en innovatieve response op cyberdreigingen’ of ‘grensoverschrijdende samenwerking en communicatie’. Artikel 21 geeft een lijst basismaatregelen die essentiële en belangrijke entiteiten moeten treffen om de netwerk- en informatiesystemen te beveiligen die ze gebruiken voor hun werkzaamheden en diensten. Hiermee dragen zij bij aan de doelen van continuïteit van hun diensten en beperken zij de schade van bedreigingen. Daarnaast hoort het bij het hogere doel van goede werking van het dagelijks leven en het beschermen van burgers, bedrijven en instellingen. 

In de tekst van de NIS-2 richtlijn staan doelstellingen soms wel en soms niet expliciet genoemd. Het gaat in de tekst incidenteel ook over doelen van de richtlijn zelf: uniforme regelgeving en versnippering tussen lidstaten wegnemen (zie bijvoorbeeld de tekst bij Overwegingen 5 in de NIS 2-richtlijn). Dat soort doelstellingen zijn niet overgenomen, het gaat louter om doelstellingen voor cybersecurity zelf. Regelgeving is daarbij een middel, geen doel. Natuurlijk is er subjectiviteit van onze kant bij de interpretatie van de tekst. Wij nodigen de lezer dan ook uit om zelf na te denken over cybersecuritydoelstellingen en de taken die daaruit voortvloeien. 

Conclusie

Werken aan cybersecurity is de verantwoordelijkheid van ons allemaal. Niet omdat het moet van de Europese Unie, maar omdat we het willen om onze samenleving, onze waarden en onze economie te beschermen. Elke weloverwogen maatregel, elke investering, elke training of kennisuitwisseling draagt een steentje bij aan het beschermen van onze samenleving en de belangen waar we voor staan. Hopelijk inspireert dit artikel om bewust te blijven van de goede dingen die we met cybersecurity kunnen bereiken.

Gerelateerde artikelen

Cyberweerbaarheid en SURF-diensten

Hoe zorg je voor een veilige digitale werk- en leeromgeving? SURF helpt – onder andere – door diensten aan te bieden die jouw instelling veilig houden. Per SURF-dienst is aangegeven...

Een norm voor de vorm?

Wat dragen normen bij aan de informatiebeveiliging in onze sector? Hoe kijken we naar deze normen? Moeten er meer regels bij of is er juist behoefte aan iets anders? In...

Thema's