NIS2 en DORA, een principle-based benadering van cybersecurity
Bart Groothuis is Europarlementariër voor de VVD en rapporteur voor NIS2, Europa’s nieuwe cybersecurity-richtlijn. Vanuit deze rol was hij ook nauw betrokken bij de totstandkoming van DORA, het zusje van NIS2, dat ziet op de cybersecurity van financiële instellingen. In gesprek met Rudrani Djwalapersad van EY pleit hij voor een goed stelsel van wet- en regelgeving, maar ook voor rationalisatie. “Ik ben van nature kritisch op wetgeving.”
“De financiële sector krijgt momenteel een historische hoeveelheid wet- en regelgeving voor zijn kiezen. Er is geen twijfel over dat dit hier en daar uitdagingen oplevert. Het is dan ook begrijpelijk dat er binnen de sector wat weerstand is."
"Toch zijn er veel goede ontwikkelingen. Een mooi signaal is bijvoorbeeld een onderzoek van kredietbeoordelaar Moody’s, met als conclusie dat de NIS2-directive (Network and Information Systems 2) per saldo ‘credit positive for doing business in Europe’ was. Vooral vanwege bedrijfscontinuïteit en om de bedrijfsvoering na een digitale aanval te kunnen voortzetten. Dat is natuurlijk een mooi compliment."
"Aan de andere kant ben ik van nature kritisch op wetgeving. Mede daarom heb ik onlangs amendementen op de Cybersecurity Act (CSA) door het parlement heen gekregen, waarmee we zorgen dat de EU niet-technische cybersecurity-wetgeving oneigenlijk gebruikt als industriepolitiek-instrument om Amerikaanse cloudpartijen buitenspel te zetten. En daarmee ook onszelf schade aan te doen."
Bread & butter
"Ik sluit ook de ogen niet voor verschuivingen in de sector door wetgeving die al door het parlement heen is. Eén daarvan is dat DORA nieuwe eisen oplevert voor technologiepartners van financiële instellingen. Zij krijgen daardoor ook te maken met toezichthouders, zoals De Nederlandsche Bank en de AFM, en potentieel ook met grote financiële sancties als ze niet aan de wet voldoen."
"Die eisen zijn voor grote partijen goed haalbaar – veilig business doen is tenslotte hun bread and butter en vanwege hun schaal kunnen ze ook investeren in specifieke maatregelen. Maar voor kleinere partijen kan de implementatie van deze nieuwe eisen lastig zijn. Je ziet in de sector nu inventarisaties op dit gebied plaatsvinden en het is waarschijnlijk onvermijdelijk dat banken vanwege DORA hier en daar afscheid nemen van bepaalde partners."
Omdenken
"Het is goed te beseffen waarom DORA en NIS2 deze insteek hebben. Het heeft te maken met een omkering in denken over cybersecurity. Vroeger redeneerden we vanuit de vraag of een organisatie tot de vitale infrastructuur hoorde. Dat was maar voor een paar dozijn organisaties het geval."
"Nu redeneren we vanuit de vraag: zijn de diensten die ze leveren essentieel voor burgers? Daarnaast kijken we ook vanuit het businessmodel van de hacker en hoe die via partners kan binnendringen op vitale diensten. Die insteek is broodnodig, zo leert ook een recente waarschuwing van bijvoorbeeld de Amerikaanse inlichtingendienst NSA."
"Hackers blijken bijvoorbeeld voor ransomware of de diefstal van intellectuele eigendommen vaak hun pijlen te richten op kleine toeleveranciers of juridische en financiële dienstverleners. ASML bijvoorbeeld brengt deze filosofie met haar toeleveranciers al jaren succesvol in de praktijk, en dat voorbeeld wordt nu breder in wetgeving toegepast."
Kroonjuwelen
"Een andere belangrijke ontwikkeling in de wetgeving is dat cyber nu echt Chefsache wordt. Ik herinner me nog dat toenmalig minister Donner – tijdens de problemen rond Diginotar in 2010 – een pleidooi hield dat het de hoogste tijd was dat cyber een serieuze plek kreeg op de agenda van de raad van bestuur. Toch lukte dat in de jaren erna niet echt."
"Nu is er geen ontkomen meer aan, omdat de wetgeving tanden heeft gekregen en ook bestuurdersaansprakelijkheid kent van maximaal twee procent van de jaaromzet: precies het losgeld dat criminele hackers ook vragen. Het effect is dat bestuurders het serieuzer gaan nemen en mogelijk ook dat ze die aansprakelijkheid willen verzekeren."
Verzekeraars willen dat best doen, maar dan eisen ze wel goede maatregelen en inzicht in de kroonjuwelen en de bijbehorende risico’s. Dat is wat mij betreft een prima prikkel om echt tot verbetering te komen. En ik zie ook partijen opstaan die diensten aanbieden om financiële instellingen hierbij te helpen.
Focus op risk
"Verder speelt hier ook het haast klassieke dilemma van de principle based- versus de rule based- benadering, zoals eigenlijk bij elk wetgevingstraject. Ik kan niet ontkennen dat sommige standaarden detaillistisch zijn en wat directief zijn ingestoken over wat je precies moet."
"Ik vind dat we te veel regels neerleggen bij bedrijven."
"Toch gaan we echt voor een principle based-benadering. Niet voor niets is de term risk based op veel plekken toegevoegd in de tekst. Ik ben er dan ook van overtuigd dat instellingen niet bang moeten zijn om de dialoog aan te gaan met de toezichthouder over hoe ze vanuit principes bepaalde afwegingen maken. Daar is echt wel ruimte voor."
"Al is het natuurlijk wel zo dat daar ook verschillen per land zijn. In Oostenrijk is er een cultuur van rechtspositivisme – je volgt de wet, zelfs als die onredelijk is – terwijl je in Frankrijk bijvoorbeeld een soepeler rechtstraditie hebt. Ik besef dat dat lastig kan zijn voor instellingen die in meerdere landen actief zijn."
Te veel regels
"Tot slot in algemene zin: ik vind dat we te veel regels neerleggen bij bedrijven en dat die regels niet altijd goed uitpakken. De GDPR functioneert bijvoorbeeld erg slecht voor veel partijen – vraag bij wijze van spreken maar aan een postduivenvereniging hoe ze met persoonsgegevens moeten omgaan en dan weet je al genoeg. Ik ben hoopvol gestemd dat er de komende jaren ruimte komt voor een rationalisatie."
"Je hoort dat tussen de regels ook door in de woorden van Ursula von der Leyen, de voorzitter van de Europese Commissie. Zij kondigde recent een tweede fase aan van de digitale en energietransitie: na een stortvloed van regels gaat competitiveness een grote rol spelen de komende jaren.”
Dit artikel is eerder verschenen in Eye on Finance Magazine, een uitgifte van EY.