Regeling cyberbeveiliging EZ

Reactie

Vraag1

Een regeling leent zich goed om de kern van NIS2 en dus ook de Cbw te verwoorden waar het gaat om de invulling van de risico gebaseerde aanpak. Het gaat om het beheersen van alle risico's welke relevant zijn voor de entiteit. Dat laat echter onverlet dat iedere entiteit inspanningen moet verrichten om alle gevaren te inventariseren en te evalueren zodat zij kan bepalen welke passende en evenredige maatregelen genomen moeten worden. Ook gevaren die mogelijk niet plausibel geacht worden zouden geëvalueerd moeten worden zodat de eindverantwoordelijken goed geïnformeerde besluiten kunnen nemen. Hierdoor nemen zij hun rol in zoals verwoord in art. 20 NIS2. De regeling zou handvatten moeten bieden aan de specifieke branche voor de invulling van eventuele branche specifieke risico gebaseerde aanpak. De nadere invulling van beheersmaatregelen zoals nu weergegeven in de regeling kunnen een schijn van veiligheid creëren wanneer entiteiten zich alleen maar richten op deze artikelen en zich niet laten leiden door de daadwerkelijke risico's.