In beeld

Partnerbijdrage

Afstudeeronderzoek omtrent aangepaste cybersecurity – wet voor MKB-bedrijven

De nieuwe NIS2-richtlijn is de opvolger van de oude Europese richtlijn (NIS1) voor ‘Network Information Security’ die in Nederland is opgenomen in de Wet beveiliging netwerk- en informatiesystemen (Wbni). De richtlijn legt de minimale beveiligingsmaatregelen vast voor organisaties en specificeert wie eraan moeten voldoen. Lidstaten zijn verplicht om de naleving te controleren en de eisen van de richtlijn om te zetten in nationaal recht. Zo draagt de NIS2-richtlijn bij aan de bescherming van digitale systemen en aan een grotere cyberweerbaarheid in heel Europa.

Leestijd: 3 minuten

De NIS2-richtlijn

Naast een meldplicht bestaat onder de NIS2-richtlijn een zorgplicht. Dit betekent dat er securitymaatregelen moeten worden getroffen die nodig zijn om de digitale veiligheid en de continuïteit van de dienstverlening van een organisatie te kunnen waarborgen. Als de richtlijn eenmaal wet is, kan de toezichthouder boetes opleggen bij het niet naleven van deze verplichtingen. Organisaties krijgen tot eind 2024 de tijd om zich voor te bereiden op de richtlijn. 

De NIS2-richtlijn gaat voor veel meer organisaties gelden dan haar voorganger. Dit creëert veel onduidelijkheid bij organisaties in Nederland. Kayleigh Veenstra, onlangs afgestudeerd HBO-rechten student, heeft om die reden een onderzoek gedaan naar de NIS2-richtlijn en de implementatie hiervan in de praktijk. Dit heeft ze gedaan in opdracht van het lectoraat Juridische aspecten van ondernemerschap van lector Trix Mulder binnen het project Cybersecurity Noord-Nederland. Wij zijn met Kayleigh in gesprek gegaan over haar afstudeeronderzoek en de conclusies die hieruit zijn gekomen.  

“In mijn afstudeeronderzoek heb ik onderzocht wat de verplichtingen van zowel de NIS1 als de NIS2-richtlijn is, wat de verschillen tussen deze richtlijnen zijn en hoe de NIS1-richtlijn in Nederland is geïmplementeerd. Daarnaast heb ik ook met verschillende organisaties gesproken over de toepassing van de wet- en regelgeving en de verwachtingen van de organisaties over de impact van de NIS2-richtlijn. Tot slot heb ik ook met een toezichthouder gesproken die betrokken is bij de implementatie van de NIS2-richtlijn in Nederland.”

Checklist verplichtingen

Aan de hand van haar onderzoek heeft Kayleigh een checklist ontwikkeld voor MKB-bedrijven (die ook gebruikt kan worden door andere organisaties) met daarin het toepassingsbereik en de verplichtingen van de NIS2-richtlijn. Aan de hand van de checklist kan een organisatie er eenvoudig achter komen of de organisatie wel of niet binnen het toepassingsbereik van de NIS2-richtlijn valt. Daarnaast staan de verplichtingen van de richtlijn in de checklist. Zo kan een organisatie eenvoudig nagaan welke verplichtingen straks gelden en snel duidelijk hebben welke stappen de organisatie nog moet nemen om aan die verplichtingen te voldoen.

“Aan de hand van de checklist kunnen organisaties heel eenvoudig nagaan welke verplichtingen de NIS2-richtlijn met zich meebrengt. De verplichtingen worden uitgebreid uitgelegd en ook in niet-juridische taal. Zo kunnen organisaties met behulp van de checklist eenvoudig aan de slag met de verplichtingen van de NIS2-richtlijn.”

De Checklist is inmiddels gepubliceerd via: https://research.hanze.nl/nl/persons/trix-mulder/publications/ en zal nog gepubliceerd worden op de CSNN-website, maar de initiële reacties die Kayleigh heeft gekregen tijdens de interviews die ze tijdens haar onderzoek afnam waren uiterst positief. De verschillende bedrijven gaven ook aan dat zij de checklist direct intern konden gebruiken bij de voorbereidingen op de NIS2-richtlijn. 

Onderzoeksresultaten

Het onderzoek van Kayleigh kent vele belangrijke uitkomsten die van belang zijn geweest bij het realiseren van haar uiteindelijk eindproduct. 

“Het toepassingsbereik en de verplichtingen van de richtlijn zijn belangrijke uitkomsten van mijn onderzoek en komen dan ook terug op de checklist. Maar wat ik ook een belangrijke uitkomst vind is de impact van de huidige Wet beveiliging netwerk- en informatiesystemen in de praktijk. Dat kon ik namelijk gebruiken om een idee te schetsen van de verwachtte impact van de NIS2-richtlijn. Het is namelijk volgens de organisaties die ik gesproken heb voor het praktijkonderzoek lastig om alle verplichtingen van de wet- en regelgeving te registreren. Aan de hand van een registratie kan je aantonen dat je aan de verplichtingen voldoet. Het registeren van alle maatregelen kost de organisaties op dit moment echter al veel tijd. Aangezien de NIS2-richtlijn extra maatregelen met zich meebrengt zijn de verwachtingen dat het registreren nog meer tijd gaat kosten. De organisaties vragen zich af of dit wel haalbaar gaat zijn.”

Kayleigh is inmiddels afgestudeerd met een 8,5 op haar afstudeeronderzoek en gaat zich rustig oriënteren op vervolgstappen. We willen haar feliciteren met dit prachtige resultaat en succes wensen in de toekomst. 

Cyber Security Noord-Nederland wordt mede mogelijk gemaakt door een bijdrage van de provincie Groningen vanuit de RSP-middelen.

Meer op de website van de Digital Society Hub.