Petra Nijenhuis, CISO bij het ministerie van Infrastructuur en Waterstaat, Jasper Nagtegaal directeur Digitale Weerbaarheid bij de RDI, Daniel Palomo van Es van de NCTV en cybersecurity-expert Bernold Nieuwesteeg discussiëren onder leiding van moderator Elly van den Heuvel over nut en noodzaak van NIS2 en de kanttekeningen die erbij te plaatsen zijn. 

Het heeft lang geduurd voor de centrale overheid de privacy-regels van de AVG had ingevoerd. Dit wil men met NIS2 niet nog eens laten gebeuren. NIS2 wordt daarom voortvarend opgepakt. Veel centrale overheidsinstellingen, zoals ministeries, zullen aan hogere eisen moeten gaan voldoen. Voordat het zover is, zullen nog veel vragen moeten worden beantwoord. Welke instellingen moeten aan striktere eisen gaan voldoen? Welke instantie zal toezicht gaan houden? Biedt de BIO voldoende aanknopingspunten voor compliance met NIS2? 

Er is veel werk aan de winkel, maar de overtuiging is er ook dat de centrale overheid NIS2 kan aangrijpen om op cybersecurity-gebied volwassener te worden.

NS is eind 2021 aangewezen als aanbieder van essentiële diensten onder de huidige WBNI, de nationale implementatie van NIS1. Joseph Mager, deputy CISO NS, beschrijft de reis die NS heeft afgelegd om de verplichtingen volgend uit de NIS te implementeren en de lessen die NS hieruit heeft getrokken. Hij zal vervolgens toelichten hoe NS zich voorbereidt op de implementatie van NIS2, voortbouwend op de implementatie van NIS1. 
 

Welke stappen moet je zetten, op weg naar het voldoen aan de NIS2-richtlijn? Een deskundig panel gaat in gesprek over aspecten als risicomanagement, maatregelen, control frameworks, technologie en toezicht op de keten.

De NIS2-richtlijn schrijft een risicogerichte benadering van cyberbeveiliging voor, waarbij de nadruk ligt op de bescherming van netwerken en informatiesystemen tegen potentiële cyberbedreigingen.

Voor overheidsinstellingen is de weg naar cyberbeveiliging bezaaid met uitdagingen, van beperkte middelen en mensen voor cyberbeveiliging, ingewikkelde IT-infrastructuren tot de dreiging van ransomware en phishing-aanvallen. NIS2 vereist een aanzienlijke investering in cyberbeveiligingstraining voor werknemers.

In deze interactieve sessie bespreken we de kerngebieden van NIS2-compliance en wisselen we inzichten en strategieën uit. Laten we samenwerken, van elkaar leren en onze aanpak van cyberbeveiliging op een hoger plan brengen!

Tijdens deze breakout sessie zal Tony van der Togt (Adviseur CISO Rijk) ingaan op de leerpunten die zijn getrokken uit de studiereis naar de VS in april 2023. Deze studiereis is georganiseerd naar aanleiding van het project (inter)departementale cyberweerbaarheid. In Amerika is het cyberdreigingsniveau het hoogst en is men dus bezig met het vraagstuk rondom het verbeteren van de cyberweerbaarheid en hoe dit te structureren voor grote, complexe organisaties.

Tevens zal Raymond Bierens (Strategisch Adviseur Digital Risk, VU Amsterdam) uitleggen hoe het inzichtelijk maken van de cyberweerbaarheid kan worden gerealiseerd door inzet van standaarden als SOC-CMM en MagMa Use Case Framework.

Bovenstaande is ook relevant in relatie tot NIS2, waar het belangrijk is om te begrijpen wat de cybersecurity baseline is van een organisatie om vervolgens een plan te kunnen maken om te komen tot een zo hoog mogelijke NIS2 compliance

NIS2 betekent voor veel organisaties dat de cybersecurity op een hoger plan gebracht moet worden. Tegelijkertijd werken ze intensiever samen, vaak digitaal, met andere bedrijven en instellingen, en werken medewerkers deels thuis. Een bepaalde mate van openheid is nodig, maar hoe ver kun je gaan? Hoeveel risico wil en mag de organisatie lopen? Welke rol spelen technologie, wet- en regelgeving en de krapte op de arbeidsmarkt? Over deze en andere aspecten wisselen we van gedachten, onder leiding van de redactie van iBestuur. 

Hans de Vries kijkt aan het einde van de congresdag vooruit: hij zal ingaan op de NL Cyber Strategie en op de impact die NIS2 zal hebben. Ook kijkt hij wat verder vooruit naar de opmaat voor het ‘nieuwe NCSC’, als NCSC, DTC en CSIRT-DSP samen zijn gegaan.