‘We werken in een internationale markt waarin het steeds belangrijker wordt dat we allemaal – telecomproviders, klanten, leveranciers – met dezelfde securityregels te maken hebben,’ stelt Jacqueline Kranenburg, onze General Counsel Wholesale & Technology. ‘Nieuwe wet- en regelgeving als NIS2 en de CRA gaan ons daarbij helpen,’ voegt Eric Dorrestijn, onze General Counsel Commercial, toe. ‘Klanten kunnen er straks op vertrouwen dat niet alleen onze diensten en ons netwerk, maar de hele keten steeds veiliger is.’
Waar Jacqueline verantwoordelijk is voor de juridische zaken rond zowel de wholesaledienstverlening als de vaste en mobiele netwerken, oftewel ‘de fabriek’ danwel ‘de achterkant’ van KPN, is Eric verantwoordelijk voor ‘de voorkant’: de consumenten- en zakelijke markt. Beiden hebben een team juristen onder zich, die samen met het team Corporate de Legal afdeling vormen van in totaal 28 mensen. ‘Wij adviseren de business van KPN over alle juridische aspecten, ook over securitywetgeving,’ vertelt Jacqueline. ‘Daardoor kunnen klanten erop vertrouwen dat het netwerk dat zij gebruiken en de diensten die zij bij ons afnemen, voldoen aan de geldende wet- en regelgeving.’ Eric: ‘Als legal team zorgen wij ervoor dat de business ook echt wéét wat wet- en regelgeving voor hen betekent. We adviseren, geven trainingen, en zijn betrokken bij zowel de implementatie als de uitvoering van wet- en regelgeving.’
NIS2 verduidelijkt
Gaat het over securitywetgeving, dan is er één ding dat nu iedereen bezig houdt: NIS2, de nieuwe Network and Information Security Directive. Deze Europese securityrichtlijn is al wel van kracht, maar nog niet vastgelegd in nationale wetgeving (lees hier alles over NIS2). Voor KPN maakt dat niet heel veel verschil, vertelt Jacqueline. ‘Veel regels die je nu in NIS2 ziet, golden al voor grote Nederlandse bedrijven – en zeker voor ons. De landelijke wetgeving die uit NIS2 gaat komen, gaat echter óók impact hebben op enkele duizenden Nederlandse bedrijven die tot nu toe nog niet onder dergelijke securitywetgeving vielen. Dat geldt ook voor bedrijven met vestigingen in andere Europese landen. En ja, daar zitten ook veel leveranciers van ons bij, die onder andere onder de CRA, de Cyber Resilience Act, vallen. Omdat de verplichtingen met NIS2 en de CRA veel helderder worden, wordt het samenwerken met die leveranciers voor ons een stuk makkelijker. De extra handvatten in NIS2 zijn eveneens welkom. Tot nu toe stond in de wet: je systemen moeten veilig zijn. Met NIS2, maar ook met de CRA, wordt veel duidelijker wat de overheid – en straks de toezichthouder – daar dan onder verstaat. En zeker, daar hebben onze klanten ook veel baat bij.’
CRA voor apparatuur en software
Naast NIS2 is er dus de CRA. Ook deze wet heeft impact, vertelt Jacqueline. Waar NIS2 over zaken als governance, ketensamenwerking en risicomanagement bij onze eigen diensten gaat, gaat CRA vooral over apparatuur en software van toeleveranciers. Goed om te weten: bij ons kun je erop vertrouwen dat het goed geregeld is en dat onze assets en diensten zullen voldoen aan zowel NIS2 als de CRA.
Meedenken in Den Haag en Brussel
Nog even terug naar NIS2. ‘NIS2 wordt nu door de overheid vertaald naar een nieuwe Nederlandse wet: de Cyberbeveiligingswet,’ legt Jacqueline uit. ‘Daarmee vervallen stukken uit de Telecomwet en waarschijnlijk de hele Wbni.’ In de consultaties over de nieuwe wet heeft KPN ook input geleverd, vertelt Eric. ‘Dat zien wij als de eerste fase van implementatie van nieuwe wet- en regelgeving. Dat is de fase waarin wij mogen meedenken in Den Haag en Brussel, onder andere om te komen tot goed uitvoerbare regelgeving. Het moet in de praktijk natuurlijk wel werken. De tweede fase is die van duiding intern: wat zijn de gevolgen voor onze organisatie? In deze fase doen we onder meer een impactanalyse, zodat we alle nieuwe rechten en verplichtingen als gevolg van nieuwe wet- en regelgeving goed in kaart hebben. Dat is vooral veel werk voor onze juridisch specialisten. In de derde fase gaan we de wet implementeren. In die fase zijn er, afhankelijk van de grootte van de impact, tientallen collega’s mee bezig, niet alleen bij onze compliance-afdeling maar overal in de organisatie. Zij werken aan technische en organisatorische maatregelen. Stel, je hebt te maken met een zorg- en een meldplicht: hoe organiseren we de naleving daarvan? Gaat het om uitgebreide wetgeving zoals de toekomstige Cyberbeveiligingswet en eerder ook de privacyregels in de AVG, dan werken er wel honderden mensen aan.’
Splendid isolation
‘Als Legal willen we sowieso niet in splendid isolation werken,’ sluit Eric af. ‘We zijn onderdeel van een veel groter geheel, waar wij als een radartje onze expertise aan bijdragen. Zodat de dienstverlening en het netwerk van KPN voldoen aan alle wet- en regelgeving, en klanten erop kunnen vertrouwen dat het veilig is.’
Geleerde les van Eric en Jacqueline
‘Check, check en dubbelcheck. Vertrouw niet alleen op een papieren werkelijkheid, maar bekijk ter plekke of een veiligheidsprotocol of procedure ook echt wordt ingevoerd en nageleefd. En niet eenmalig, maar via reguliere checks.
Geïnterviewden
Eric Dorrestijn, General Counsel Commercial KPN
Jacqueline Kranenburg, General Counsel Wholesale & Technology KPN
’