NIS2: ook voor mij?! De valkuil voor concerns

De IT-infrastructuur binnen een concern: wie draagt de risico's?

Het is niet ongebruikelijk dat moedermaatschappijen binnen een concern IT-diensten aanbieden aan hun dochtermaatschappijen. Denk hierbij aan het beheren van servers, netwerken en beveiligingssystemen. Wat vaak echter over het hoofd wordt gezien, is dat deze diensten, hoewel intern verleend, onder de NIS2-richtlijn als "beheerde diensten" kunnen worden gekwalificeerd. Dit betekent dat de moedermaatschappij aan dezelfde strikte eisen moet voldoen als externe aanbieders van dergelijke diensten.

Dit brengt aanzienlijke risico’s met zich mee:

• Compliance Risico's: Moedermaatschappijen worden verplicht om te voldoen aan de uitgebreide cybersecurity- en rapportageverplichtingen onder de NIS2-richtlijn, inclusief zorg- en meldplichten.
• Boetes en Sancties: Niet-naleving kan leiden tot zware boetes en andere sancties, die zowel financieel- als reputatieverlies kunnen veroorzaken.
• Toezicht en Handhaving: Moedermaatschappijen kunnen onder intensief toezicht komen te staan van de bevoegde autoriteiten, iets wat normaliter buiten hun verwachting zou liggen.

Wat kunt u doen om dit risico te beperken?

Er zijn enkele concrete stappen die u kunt ondernemen om te voorkomen dat uw moedermaatschappij als een "aanbieder van beheerde diensten" wordt gezien onder de NIS2:

1. Herzie de structuur van interne diensten
   
   Een eerste stap is om de interne IT-diensten die door de moedermaatschappij worden verleend, kritisch te beoordelen. Zijn er mogelijkheden om deze diensten anders in te richten of te beperken tot een adviserende rol, zonder daadwerkelijk beheer en onderhoud uit te voeren? Door de verantwoordelijkheden voor operationele IT-taken bij de dochtermaatschappijen zelf te leggen, kan het risico worden verminderd.
   
   
2. Contracten en Service Level Agreements (SLA’s) aanpassen
   
   Zorg ervoor dat de interne overeenkomsten en SLA's duidelijk vastleggen dat de dochtermaatschappij de verantwoordelijkheid draagt voor het beheer en onderhoud van haar IT-systemen. De rol van de moedermaatschappij kan bijvoorbeeld beperkt worden tot strategisch advies of ondersteuning bij implementatie, zonder betrokken te zijn bij het dagelijkse beheer.
   
   
3. Interne compliance structuren opzetten
   
   Stel een interne compliance structuur op om ervoor te zorgen dat de moedermaatschappij niet onbedoeld taken uitvoert die haar kwalificeren als aanbieder van beheerde diensten. Dit omvat regelmatige audits en het monitoren van de dienstverlening aan dochtermaatschappijen.

Conclusie: Wees voorbereid op de NIS2-impact!

De NIS2-richtlijn en de Cyberbeveiligingswet brengen nieuwe uitdagingen met zich mee voor concerns waarin moedermaatschappijen IT-diensten leveren aan hun dochterondernemingen. Door proactief de hierboven genoemde stappen te ondernemen, kunt u de risico’s van ongewenste classificatie als een "aanbieder van beheerde diensten" minimaliseren.