Home
Oplossingen
Informatiebeveiliging
Privacy
Awareness
Het CMF
PRISM
Cyber Resilience Games
Trainingen
SOC/SIEM
Inspiratie
Blog
PRISM de Podcast
Video's
Whitepapers
Klantcases
Events & Webinars
Over ons
Over Audittrail
Werken bij Audittrail
Partners
Inschrijven nieuwsbrief
FAQ
PRISM inlog
ENG
Contact
Home
Oplossingen
Informatiebeveiliging
Privacy
Awareness
Het CMF
PRISM
Cyber Resilience Games
Trainingen
SOC/SIEM
Inspiratie
Blog
PRISM de Podcast
Video's
Whitepapers
Klantcases
Events & Webinars
Over ons
Over Audittrail
Werken bij Audittrail
Partners
Inschrijven nieuwsbrief
FAQ
PRISM inlog
ENG
Contact
InformatiebeveiligingNIS2 en woningcorporaties: het eerlijke verhaal.
NIS2 voor woningcorporaties
Informatiebeveiliging
Informatiebeveiliging
3 min

NIS2 en woningcorporaties: het eerlijke verhaal.

3 min

Beste (directeur-bestuurders van) woningcorporaties,

Allerlei adviesbureaus en software leveranciers willen je via artikelen, nieuwsbrieven, webinars en blogs er van overtuigen dat er duidelijke aanwijzingen zijn dat woningcorporaties binnen afzienbare tijd onder de NIS2/Cyberbeveiligingswet (Cbw) gaan vallen. Met als doel de corporaties hard aan de slag te laten gaan met hun hulp of software. Ook voor Audittrail zou dat een mogelijke strategie zijn, wij zijn immers een adviesbureau. Maar dat doen we niet. Want…


Spoiler alert.

Er zijn helemaal geen aanwijzingen dat Woningcorporaties aan de NIS2 moeten voldoen. Nu niet en in de nabije toekomst niet. En gezien het tempo waarmee de wetgeving zich beweegt, zelfs in de verre toekomst niet.

De Minister van Wonen is de Minister die een dergelijke aanwijzing zou doen en die heeft geen indicaties afgegeven. Ook de toezichthouder (de Autoriteit wonen) is nog niet in de lucht gekomen. En ook de RDI (Rijksinspectie Digitale Infrastructuur), die toezicht houdt op de overige sectoren, houdt zich stil.

Dus. Klaar, strik er omheen en laat je niet afleiden door een wettelijke verplichting die er niet komt.


Waar kan de NIS2/Cbw je als corporatie wél helpen?

Het is goed dat er eindelijk een wettelijke verplichting komt om voorbereid en weerbaar te zijn op (de gevolgen van) cyberaanvallen voor sectoren in Nederland die de overheid als belangrijk of essentieel bestempelt.

De NIS2/Cbw valt uiteen in drie verplichtingen: de Registratieplicht, de Zorgplicht en de Meldplicht. Als niet NIS2-plichtige hoef je niet te voldoen aan de Registratieplicht en de Meldplicht.

Voor organisaties die buiten de wettelijke verplichting vallen is het is onzin om alsnog volledig te willen voldoen aan de wet (lees: voldoen aan de Registratieplicht en de Meldplicht en het implementeren van de maatregelen volgens de letter van de wet). Je schiet je doel voorbij: het draagvlak binnen een organisatie brokkelt af en het goed bedoelde initiatief wordt een papieren tijger.

De meeste corporaties zijn al druk bezig met de BIC en een aantal zelfs met een certificering volgens de ISO27001. Oftwel: er wordt al veel gedaan aan de cyberweerbaarheid bij corporaties.

De Zorgplicht binnen de NIS2 bevat echter zeer interessante zaken waar je als corporatie je voordeel mee kan doen. Een security- of compliance officer is doorlopend nieuwsgierig naar andere inzichten, risico’s en maatregelen.


De zorgplicht

De zorgplicht bestaat uit 10 maatregelen. Hieronder zijn deze opgesomd op hoofdlijnen. Het gaat om beleid en werkende procedures op het gebied van:

  1. Risicoanalyse en beveiliging van informatiesystemen;
  2. Incidentenbehandeling.
  3. Bedrijfscontinuïteit, zoals back-upbeheer en herstelplannen, en crisisbeheer.
  4. De beveiliging van de toeleveringsketen, […];
  5. Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, inclusief kwetsbaarhedenmanagement;
  6. Het beoordelen van de effectiviteit van maatregelen voor het beheersen van cyberbeveiligingsrisico’s (de werking);
  7. Basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
  8. Cryptografie en encryptie;
  9. Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van assets; en
  10. Het gebruik van multifactor-authenticatie- of andere authenticatieoplossingen, beveiligde (nood-)communicatiesystemen

De feitelijke inhoud wordt nog verder uitgewerkt in onderliggende regelgeving.

Belangrijk is om te weten dat het geen set aan beleidsstukken of documenten is. De basis is dat het werkende maatregelen zijn. Voor veel organisaties is het een goede oefening in het aantoonbaar maken van cybersecurity maatregelen, zonder te gaan voor een certificering.

Deze lijst met 10 maatregelen gebruik je aanvullend op de maatregelen die getroffen zijn vanuit de BIC. Omdat er geen wettelijke verplichting voor de NIS2/Cbw is, kan je de maatregelen uit de Zorgplicht gebruiken op basis van ‘pas toe of leg uit’. Zo houd je de regie, beperk je de papieren tijger en verhoog je alsnog de weerbaarheid en volwassenheid op het gebied van informatiebeveiliging.


Bestuurlijke aansprakelijkheid en training

De maatregel die niet in het rijtje van de Zorgplicht genoemd staat, maar wel in de NIS2 is opgenomen, is de bestuurlijke aansprakelijkheid en training voor bestuurders. Als je als organisatie niet NIS2-plichting bent is er in principe geen aansprakelijkheid voor het bestuur, op basis van deze wetgeving.

Verantwoordelijkheid nemen voor maatregelen op het gebied van cybersecurity is wel het juiste wat je als bestuurder of manager kan doen. Je bent immers ook verantwoordelijk voor de huurders en een zeer waardevolle organisatie. Zowel financieel als maatschappelijk. Daarbij is het van belang dat je als bestuurder of manager begrijpt welke risico’s er zijn en hoe de maatregelen daarop aansluiten. Daarvoor is training essentieel.

Tegelijk kan je leren van de NIS2 en wel voldoen aan de eis om als persoon en organisatie getraind en geoefend te zijn. Hacks en incidenten zullen de komende jaren toenemen en als directeur-bestuurder of manager wil je jezelf de kans niet ontnemen om zo’n situatie adequaat het hoofd te kunnen bieden.


Tot slot

Het blijkt dat de NIS2 in veel marketinguitingen gebruikt wordt als bangmakerij met claims die onjuist zijn. Dat is erg jammer, want de Cyberbeveiligingswet heeft wel degelijk voordelen. Belangrijk is om je te richten op de maatregelen die verstandig zijn om te treffen en niet op de zaken waar geen verplichting voor is. Bij Audittrail geloven we in realisme.

Audittrail is al jaren de vertrouwde partner voor woningcorporaties voor vraagstukken op cyber security, privacy en compliance. We leveren interim adviseurs voor kort- en langdurende trajecten en trainingen. Ook adviseren wij MT’s en RvC/RvTen op deze onderwerpen.


Jorrit van de Walle, CISA, CISM, CDPSE is directeur van Audittrail.

Jorrit van de Walle
15 artikelenBekijk profiel
Jorrit van de Walle is oprichter van Audittrail, een audit- en adviesbureau op het gebied van security, privacy en compliance. Jorrit heeft meer dan 20 jaar ervaring als security auditor en – manager.
Bekijk ook
Privacy en Informatiebeveiliging assessment
Vakgebieden & specialisaties binnen auditing
Gezond achterdochtig
Persbericht | Sectoronderzoek Woningcorporaties naar de stand van informatiebeveiliging
Informatiebeveiliging moet processen zo min mogelijk hinderen
Digitale weerbaarheid in tijden van nood
Persbericht | Sectoronderzoek Woningcorporaties naar de stand van informatiebeveiliging
Bart Hillenaar (Dudok Wonen): Belangrijkste les van het datalek? Waterdichte afspraken maken met leveranciers
Een accurate risicobeoordeling is cruciaal om de gevolgen van datalek te beperken
Rapport tijd voor het onderwijs
Reacties
Categorieën
Awareness
Informatiebeveiliging
Privacy
Microsoft
Maatwerk
Trainingen
Algemeen
Edit article Dashboard Settings Website Design Article cached on Fri. 10 Apr 15:28
Renew cache