Wat moet je als customerservice- of contactcentermanager of als toeleverancier met de NIS2 Directive, de Digital Services Act of de Artificial Intelligence Act? Micha Groeneveld, jurist tech & privacy law bij BDO, legt uit welke rol de Europese regels NIS2 en DORA spelen bij klantcontact.
Micha Groeneveld
Met toenemende digitalisering komt er steeds meer nieuwe wet- en regelgeving op het vlak van data, privacy en security. Dat heeft ook effect op de customerserviceorganisatie.
Network and Information Systems Directive (NIS2)
NIS2 staat voor Network and Information Systems Directive en is gericht op maatregelen op het gebied van cybersecurity. Met NIS2 wordt de werkingssfeer van de eerste versie van NIS uit 2016 fors uitgebreid naar veel meer organisaties die deel uitmaken van de kritische infrastructuur van landen van de EU, die een omvang hebben van 50 werknemers of meer en een omzet van meer dan 10 miljoen euro.
‘Kritische infrastructuur’ is een heel ruim begrip: het gaat hierbij om organisaties die actief zijn op het gebied van energie, transport, bankwezen, infrastructuur financiële markt, gezondheidszorg, drinkwatervoorziening, digitale infrastructuur (cloudcomputing, datacenters e.d.), beheerders van ICT-diensten (cyberbeveiliging), afvalwater- en afvalstoffenbeheer, digitale aanbieders (marktplaatsen, sociale netwerken, zoekmachines), post- en koeriersdiensten, levensmiddelen en onderzoek. NIS2 moet in 2024 in Nederlandse wetgeving zijn omgezet.
Organisaties die straks onder NIS2 vallen, moeten een risicobeoordeling uitvoeren en op basis daarvan passende maatregelen nemen om hun diensten te beveiligen. Ook krijgen ze de plicht om incidenten binnen 24 uur bij de toezichthouder te melden. Een cyberincident moet ook bij het Computer Security Incident Response Team (CSIRT) gemeld worden. Onderdeel van NIS2 is dat een onafhankelijk toezichthouder kijkt naar de naleving van de verplichtingen uit de richtlijn.
Concreet betekent NIS2 dat organisaties onder andere verplicht worden beleid op te zetten (en uit te voeren) op het gebied van awareness en opleiding rondom cyberbeveiliging en (waar passend), het invoeren van multifactor-authenticatie- of continue-authenticatieoplossingen, het zorgdragen voor beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen.
NIS2 en klantcontact: ketenverantwoordelijkheid
Micha Groeneveld (BDO) licht de impact van NIS2 op klantcontact toe: “NIS2 gaat voor heel veel organisaties gelden. De reikwijdte is in de praktijk nog groter, want alle bedrijven die onder de NIS2 vallen, zullen van hun toeleveranciers gaan vragen in hoeverre zij bijdragen aan het continuïteitsrisico van de klantorganisatie. Ofwel: laat als kleine leverancier maar zien dat jij zelf ook je cybersecurity op orde hebt, ook al val je zelf niet onder de NIS2. Dit doordruppeleffect is essentieel en verklaart ook waarom organisaties nu volop bezig zijn met de NIS2. Ook als toeleverancier in de klantcontactsector moet je kunnen laten zien welke maatregelen je hebt genomen om te kunnen communiceren op het moment dat je te maken hebt met een incident.” Dit laatste aspect wordt mogelijk nog wel relevanter bij de DORA (zie hierna).
“In beide gevallen zal je, ook als (kleine) toeleverancier, dus inzicht moeten hebben in de impact van jouw diensten of producten op het proces van je klant,” aldus Groeneveld. “De afnemer van jouw product zal moeten kijken hoe kritisch dat product binnen zijn product is. Denk aan een leverancier van een bescheiden puntoplossing voor klantcontact die essentieel is om klanten goed te kunnen blijven informeren over incidenten.”
NIS2 en gemeentelijke KCC’s
Een andere belangrijke entiteit voor de NIS2 zijn de gemeenten. Zij zijn aangewezen als essentiële entiteit binnen NIS2 en krijgen daardoor te maken met nieuwe eisen op gebied van zorgplicht, toezicht en meldplicht op gebied van cybersecurity. Tot voor kort kwamen gemeenten weg met volgen van de BIO (baseline informatiebeveiliging, een regeling specifiek voor de overheid) maar de regels worden dus aangescherpt. Gemeentelijke KCC’s spelen een nadrukkelijk rol als het gaat om publieksdienstverlening en bij het aanvragen of vernieuwen van bijstand, thuiszorg of reis- en identiteitsdocumenten.
Tijd tot oktober 2024
Groeneveld zegt dat gemeenten “relatief laat zijn geïnformeerd over de op handen zijnde regelgeving. Wij bespeuren hier en daar opwinding; het levert in ieder geval veel vragen op. Gelukkig is er nog wel wat tijd; de NIS2 moet nog helemaal worden geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni) en EU-lidstaten zijn verplicht de NIS2-directive uiterlijk 17 oktober 2024 in nationale wetgeving om te zetten.”
ESG-beleid – Het eerdergenoemde doordruppeleffect – hoe ziet buiten jouw organisatie de keten eruit, wie heeft invloed op welk proces – wordt ook belangrijk voor het ESG-beleid. De nieuwe wet- en regelgeving rondom CSDR die per 1 januari 2024 ingaat, geeft organisaties verplichtingen op het vlak van duurzaamheidsrapportages. Die zullen de komende tijd steeds meer betrekking gaan hebben op de keten van (toe)leveranciers. Het begint er mee dat bedrijven en organisaties met meer dan honderd medewerkers – dit zijn circa 8.000 bedrijven in Nederland – vanaf 2024 verplicht zijn om aan de Rijksdienst voor Ondernemend Nederland (RVO) rapporteren hoeveel kilometers hun medewerkers reizen voor hun werk.
DORA
De Digital Operations Resilience Act (DORA) is een ‘lex specialis’ ten opzichte van de NIS2: het is er bovengeschikt aan. DORA is vooral gericht op de IT-risicobeheersing van financiële organisaties. Het doel is om de weerbaarheid van deze organisaties tegen cyberdreigingen te vergroten. Ondanks het feit dat de DORA gericht is op digitale operationele veerkracht in de financiële en de NIS2 een bredere focus en van toepassing is op alle sectoren binnen de EU, is ook bij DORA sprake van een brede werkingssfeer: die loopt van banken, verzekeraars, tussenpersonen en aanbieders van crowdfundingdiensten tot aan beleggingsinstellingen en handelsplatformen.
DORA en klantcontact
Op het snijvlak van DORA en klantcontact is vooral relevant dat organisaties moeten beschikken over ‘crisiscommunicatieplannen die het mogelijk maken ten minste ernstige ICT-gerelateerde incidenten of kwetsbaarheden op verantwoordelijke wijze bekend te maken aan cliënten en tegenpartijen en, in voorkomend geval, aan het publiek’. Net als bij NIS2 heeft DORA dus consequenties voor de frontoffice.
Ondernemingen hebben tot december 2024 de tijd om aan de DORA-regelgeving te voldoen. Vanaf januari 2025 moeten de regels geïmplementeerd zijn in iedere organisatie. AFM en DNB houden naar verwachting gezamenlijk toezicht op de naleving van de DORA-verordening.
Conclusies
Vanuit Europa komen veel nieuwe regels op ons af, die voor een deel ook impact zullen hebben op klantcontact. We krijgen te maken met regels uit de AI Act omtrent transparantie over chatbots en andere systemen die met mensen ‘interageren’. De DSA geeft regels die ongewenste manipulatie door online platformen moeten voorkomen en die bijvoorbeeld ook inhouden dat klantcontact niet uitsluitend gebaseerd mag zijn op geautomatiseerde voorzieningen. “We zien veel aandacht voor de NIS2, met potentieel een groot bereik, die ertoe kan leiden dat zwaardere eisen gesteld worden aan risicobeheersing rondom klantcontact en publieksinformatie in kritische sectoren,” aldus Groeneveld.
Kortom: ook in de klantcontactsector zullen we de ontwikkelingen kritisch moeten volgen en zorgen dat we tijdig starten met voorbereidingen om te zorgen dat we kunnen blijven voldoen aan de veranderende vraag in een steeds technischer wordend landschap.
Featured, Kennisbank, Technologie