Let op, hij komt eraan: NIS2. Misschien heb je er nog niet eerder van gehoord, maar dat zal binnenkort vast anders zijn! Voluit heet hij Richtlijn (EU) 2022/0857, en zullen we hem in Nederland vooral de cyberwet gaan noemen, of misschien wel iets uitgebreider: de Cyberbeveiligingswet. En nee, dat is niet alleen iets voor je IT-afdeling. Ook als recruiter zul je ermee te maken krijgen. Al is het alleen maar omdat de recente problemen bij de Belastingdienst, Schiphol en het gevangenenvervoer duidelijk maken dat er voor recruitment als poortwachter een belangrijke rol in het veiligheidsdenken van organisaties is weggelegd.
De Belastingdienst, Schiphol en het gevangenenvervoer maken duidelijk dat hier ook een rol voor recruiters ligt.
IT-security en cyberspecialisten waarschuwen al tijden – samen met bijvoorbeeld de AIVD en de MIVD – dat er in cyberspace al lang een Derde Wereldoorlog woedt. Nu de Russische dreiging (ook fysiek) steeds serieuzer wordt, neemt het belang van NIS2 alleen nog maar meer toe. En dus zal recruitment zich hier ook in moeten verdiepen, en een extra skill moeten leren om mensen op aan te nemen, maar ook om de screeningsprocessen op aan te passen. Werk aan de winkel dus.
Wat is NIS2?
Waar staat NIS2 voor? De EU-Richtlijn betreft maatregelen voor een hoog gemeenschappelijk niveau van cybersecurity in de Europese Unie. Het is een wet die tot doel heeft de cybersecurity in alle lidstaten te versterken. In tegenstelling tot de eerdere wetgeving (NIS1), bestrijkt NIS2 een breder scala aan sectoren en organisaties zodat meer organisaties aan de eisen zullen moeten voldoen. Om te kijken of jouw organisatie hier ook bij hoort, kun je deze NIS2 zelfevaluatie NL invullen. Maar je kunt ruwweg stellen dat elke organisatie groter dan 250 personen, en/of vitaal voor de Nederlandse samenleving en economie, hieronder valt.
Staffingbureaus en brokers moeten ook aan de bak om aan te tonen dat zij oog hebben voor cybersecurity.
Kortom, het zou best al uitzonderlijk zijn als je als Nederlands bedrijf met een recruitmentafdeling hier niet onder zou vallen. NIS2 impliceert dat organisaties strengere beveiligingsmaatregelen moeten implementeren om hun netwerk- en informatiesystemen te beschermen, zoals technische beveiligingsmaatregelen, bewustwordingsmaatregelen en incidentenrapportages. Daarbij zal er ook extra aandacht zijn voor de toeleveringsketen, waarbij staffingbureaus en brokers ook aan de bak moeten om aan te tonen dat zij aandacht hebben voor alle nieuwe en extra cybersecurity-eisen.
Een skill die hot is
Natuurlijk betekent de nieuwe regelgeving voor recruiters niet alleen dat ze zich meer bewust moeten zijn van hun eigen security. Het is ook een grote nieuwe kans. De nieuwe cyberwet zorgt waarschijnlijk namelijk voor nog veel meer vraag naar kennis van de skill NIS2. Dat kun je bijvoorbeeld al aflezen aan de explosieve groei in het aantal vacatures waarin NIS2 vermeld wordt:
Een zelfde groei is te zien in functies als:
- Cyber Security Engineer
- IT Security Consultant
- Security Analist
- Hoofd informatievoorziening
- Beveiligingsbeambte
- ICT security coördinator
- Riskmanager
Een behoorlijke groeimarkt dus voor recruiters en recruitmentbureaus. Maar nog even terug naar die andere implicatie van de nieuwe regelgeving: het toenemend belang van security in de eigen organisatie. En de rol van recruiters daarbij als gatekeeper voor het buitenhouden van cybercriminelen, infiltranten, zetbazen, en mensen met een hoog integriteitsrisico. Niet in de laatste plaats moeten recruiters ook zelf door zo’n test heenkomen. Het ondertekenen van de Recruitercode, een recruitmentopleiding, een VOG en een screening zullen dan ook steeds vaker een eis voor iedereen in de keten gaan worden, zo is mijn verwachting.
Gevolgen voor kandidaatscreening
Naast het trainen, opleiden en controleren van eigen medewerkers op het gebied van cybersecurity-bewustzijn, zal iedereen meer bewust moeten zijn van cyberdreigingen. Voor recruiters betekent NIS2 concreet:
- Strengere achtergrondcontroles en antecedentenonderzoeken uitvoeren om te controleren of kandidaten geen strafblad hebben (voor cybergerelateerde misdaden).
- Er moet een verificatie plaatsvinden van cybersecurity-medewerkers, inclusief hun opleiding, werkervaring en certificeringen.
- Recruiters zullen tijdens sollicitatiegesprekken meer vragen moeten stellen over het cybersecurity-bewustzijn van kandidaten en hoe ze omgaan met cyberdreigingen.
- Alle medewerkers die betrokken zijn in het recruitmentproces moeten worden opgeleid in de NIS2-richtlijn en hoe hiermee om te gaan.
Verder betekent voor de eigen IT-systemen en voor de partners waarmee zij samenwerken dat alle IT-systemen die worden gebruikt tijdens het recruitmentproces veilig moeten zijn en moeten voldoen aan de NIS2-eisen. Dit om – vanzelfsprekend – de privacy van kandidaten te beschermen en tegelijk ervoor te zorgen dat hun persoonsgegevens veilig worden opgeslagen en verwerkt.
Gevolgen voor recruitment
Met de explosie aan fraude rondom recruitment en nu dus ook NIS2, beseft iedereen maar al te goed dat professioneel recruitment en een professioneel recruitmentproces randvoorwaardelijk zijn voor het buiten de deur houden van individuen die de bedrijfscontinuïteit en de samenleving in gevaar kunnen brengen en/of met vitale systemen en/of (persoonsgevoelige) data aan de slag gaan. Je kunt als recruiter dus niet vroeg genoeg beginnen om hierover na te denken en de goede procedures hiervoor tot stand te brengen.
Je kunt als recruiter niet vroeg genoeg beginnen om hierover na te denken.
De enorme behoefte aan cyber- en riskspecialisten is niet alleen een recruitmentkans, maar zal – mede door de nodige screening en controles – ook leiden tot langere doorlooptijden voor het recruitmentproces en hogere kosten voor recruitment. Zelf meer inzicht krijgen in hoe je de (cyber)veiligheid in het inhuur- en recruitmentproces beter kunt waarborgen? Tijdens de Masterclass Integriteit, security en risicomanagement in recruitment en inhuur doe je hierover diepgaande kennis en praktische vaardigheden op. Lees hier meer over de masterclass:
Cyberveiligheid