EY Cybersecurity eof

NIS2 en DORA, een principle-based benadering van cybersecurity

Portrait of Rudrani Djwalapersad
Rudrani Djwalapersad

Partner, Technology Consulting, Cybersecurity, EY Advisory Netherlands LLP

3 minuten leestijd 18 dec. 2023
Gerelateerde topics
Financiële dienstverlening
Eye on Finance magazine

Bart Groothuis (VVD) kan niet ontkennen dat sommige standaarden wat doorslaan. Hij hoopt dat er de komende jaren ruimte komt voor een rationalisatie.

In het kort:

  • Bij de implementatie van wetgeving moeten bedrijven uitgaan van de principes achter de wet.
  • Als er dilemma’s zijn, moeten ze het gesprek aangaan met de toezichthouder, vindt Bart Groothuis.
  • Hij maakt zich hard voor een rationalisatie van Europese wetgeving.

Bart Groothuis is Europarlementariër voor de VVD en rapporteur voor NIS2, Europa’s nieuwe cybersecurity-richtlijn. Vanuit deze rol was hij ook nauw betrokken bij de totstandkoming van DORA, het zusje van NIS2, dat ziet op de cybersecurity van financiële instellingen. In gesprek met Rudrani Djwalapersad van EY pleit hij voor een goed stelsel van wet- en regelgeving, maar ook voor rationalisatie. “Ik ben van nature kritisch op wetgeving.”

“De financiële sector krijgt momenteel een historische hoeveelheid wet- en regelgeving voor zijn kiezen. Er is geen twijfel over dat dit hier en daar uitdagingen oplevert. Het is dan ook begrijpelijk dat er binnen de sector wat weerstand is. Toch zijn er veel goede ontwikkelingen. Een mooi signaal is bijvoorbeeld een onderzoek van kredietbeoordelaar Moody’s, met als conclusie dat de NIS2-directive (Network and Information Systems 2) per saldo ‘credit positive for doing business in Europe’ was. Vooral vanwege bedrijfscontinuïteit en om de bedrijfsvoering na een digitale aanval te kunnen voortzetten. Dat is natuurlijk een mooi compliment. Aan de andere kant ben ik van nature kritisch op wetgeving. Mede daarom heb ik onlangs amendementen op de Cybersecurity Act (CSA) door het parlement heen gekregen, waarmee we zorgen dat de EU niet-technische cybersecurity-wetgeving oneigenlijk gebruikt als industriepolitiek-instrument om Amerikaanse cloudpartijen buitenspel te zetten. En daarmee ook onszelf schade aan te doen.

Bread & butter

Ik sluit ook de ogen niet voor verschuivingen in de sector door wetgeving die al door het parlement heen is. Eén daarvan is dat DORA nieuwe eisen oplevert voor technologiepartners van financiële instellingen. Zij krijgen daardoor ook te maken met toezichthouders, zoals De Nederlandsche Bank en de AFM, en potentieel ook met grote financiële sancties als ze niet aan de wet voldoen. Die eisen zijn voor grote partijen goed haalbaar – veilig business doen is tenslotte hun bread and butter en vanwege hun schaal kunnen ze ook investeren in specifieke maatregelen. Maar voor kleinere partijen kan de implementatie van deze nieuwe eisen lastig zijn. Je ziet in de sector nu inventarisaties op dit gebied plaatsvinden en het is waarschijnlijk onvermijdelijk dat banken vanwege DORA hier en daar afscheid nemen van bepaalde partners.

Nu redeneren we vanuit het businessmodel van de hacker.

EY eof Bart
Ollivier Trouw, APG

Omdenken

Het is goed te beseffen waarom DORA en NIS2 deze insteek hebben. Het heeft te maken met een omkering in denken over cybersecurity. Vroeger redeneerden we vanuit de vraag of een organisatie tot de vitale infrastructuur hoorde. Dat was maar voor een paar dozijn organisaties het geval. Nu redeneren we vanuit de vraag: zijn de diensten die ze leveren essentieel voor burgers? Daarnaast kijken we ook vanuit het businessmodel van de hacker en hoe die via partners kan binnendringen op vitale diensten. Die insteek is broodnodig, zo leert ook een recente waarschuwing van bijvoorbeeld de Amerikaanse inlichtingendienst NSA. Hackers blijken bijvoorbeeld voor ransomware of de diefstal van intellectuele eigendommen vaak hun pijlen te richten op kleine toeleveranciers of juridische en financiële dienstverleners. ASML bijvoorbeeld brengt deze filosofie met haar toeleveranciers al jaren succesvol in de praktijk, en dat voorbeeld wordt nu breder in wetgeving toegepast.

 

Kroonjuwelen

Een andere belangrijke ontwikkeling in de wetgeving is dat cyber nu echt Chefsache wordt. Ik herinner me nog dat toenmalig minister Donner – tijdens de problemen rond Diginotar in 2010 – een pleidooi hield dat het de hoogste tijd was dat cyber een serieuze plek kreeg op de agenda van de raad van bestuur. Toch lukte dat in de jaren erna niet echt. Nu is er geen ontkomen meer aan, omdat de wetgeving tanden heeft gekregen en ook bestuurdersaansprakelijkheid kent van maximaal twee procent van de jaaromzet: precies het losgeld dat criminele hackers ook vragen. Het effect is dat bestuurders het serieuzer gaan nemen en mogelijk ook dat ze die aansprakelijkheid willen verzekeren. Verzekeraars willen dat best doen, maar dan eisen ze wel goede maatregelen en inzicht in de kroonjuwelen en de bijbehorende risico’s. Dat is wat mij betreft een prima prikkel om echt tot verbetering te komen. En ik zie ook partijen opstaan die diensten aanbieden om financiële instellingen hierbij te helpen.

 

Focus op risk

Verder speelt hier ook het haast klassieke dilemma van de principle based- versus de rule based- benadering, zoals eigenlijk bij elk wetgevingstraject. Ik kan niet ontkennen dat sommige standaarden detaillistisch zijn en wat directief zijn ingestoken over wat je precies moet. Toch gaan we echt voor een principle based-benadering. Niet voor niets is de term risk based op veel plekken toegevoegd in de tekst. Ik ben er dan ook van overtuigd dat instellingen niet bang moeten zijn om de dialoog aan te gaan met de toezichthouder over hoe ze vanuit principes bepaalde afwegingen maken. Daar is echt wel ruimte voor. Al is het natuurlijk wel zo dat daar ook verschillen per land zijn. In Oostenrijk is er een cultuur van rechtspositivisme – je volgt de wet, zelfs als die onredelijk is – terwijl je in Frankrijk bijvoorbeeld een soepeler rechtstraditie hebt. Ik besef dat dat lastig kan zijn voor instellingen die in meerdere landen actief zijn.

Ik vind dat we te veel regels neerleggen bij bedrijven.

Te veel regels

Tot slot in algemene zin: ik vind dat we te veel regels neerleggen bij bedrijven en dat die regels niet altijd goed uitpakken. De GDPR functioneert bijvoorbeeld erg slecht voor veel partijen – vraag bij wijze van spreken maar aan een postduivenvereniging hoe ze met persoonsgegevens moeten omgaan en dan weet je al genoeg. Ik ben hoopvol gestemd dat er de komende jaren ruimte komt voor een rationalisatie. Je hoort dat tussen de regels ook door in de woorden van Ursula von der Leyen, de voorzitter van de Europese Commissie. Zij kondigde recent een tweede fase aan van de digitale en energietransitie: na een stortvloed van regels gaat competitiveness een grote rol spelen de komende jaren.”

Lees ook

Hoe APG balanceert tussen mens, wet en AI

Veiligheid gaat boven snelheid, verzekert Ollivier Trouw (APG): we moeten ons vooral realiseren welk probleem een nieuwe technologie oplost.

Rudrani Djwalapersad

    Samenvatting

    De financiële sector krijgt een historische hoeveelheid wet- en regelgeving voor zijn kiezen. Er is geen twijfel over dat dit uitdagingen oplevert, benadrukt VVD-Europarlementariër Bart Groothuis. “Het is dan ook begrijpelijk dat er binnen de sector wat weerstand is.” Binnen het klassieke dilemma van de principle based- versus de rule based-benadering pleit hij voor de laatste. “Ik kan niet ontkennen dat sommige standaarden detaillistisch zijn en wat directief zijn ingestoken […] Ik ben ervan overtuigd dat instellingen niet bang moeten zijn om de dialoog aan te gaan met de toezichthouder over hoe ze vanuit principes bepaalde afwegingen maken.”

    EY verwijst naar de wereldwijde organisatie en kan verwijzen naar een of meer van de lidfirma's van Ernst & Young Global Limited, die elk een afzonderlijke juridische entiteit zijn. Ernst & Young Global Limited, een Britse vennootschap met beperkte aansprakelijkheid, verleent geen diensten aan cliënten.