De Europese Unie zet met de implementatie van de NIS2-richtlijn een belangrijke stap richting het versterken van cybersecurity voor alle Europese bedrijven.
Bedrijven die onder de NIS2-wetgeving vallen, moeten voldoen aan strengere eisen op het gebied van risicobeheer, incidentrapportage en supply chain-beveiliging. Hoe rolt zo’n wetgeving binnen bij een bedrijf, waarom is België een van de eerste landen die de richtlijn omzet in wetten en hoe groot is de rol van het CCB (Centrum voor Cybersecurity België) daarin?
We leggen onze vragen voor aan Niels Hofmans, Head of Security and IT bij Intigriti. Intigriti is een bug bounty-platform dat ethische hackers in contact brengt met bedrijven, en hij ziet deze nieuwe richtlijn niet alleen als een verplichting, maar ook als een kans om transparantie en vertrouwen te versterken.
België op kop
België heeft met NIS2 laten zien dat het serieuze ambities heeft in cybersecurity. Het CCB is erg belangrijk geweest voor de snelheid waarmee de richtlijnen in een wetgeving zijn omgezet. “Ons land is een van de eerste landen die volledig in orde is met de implementatie van NIS2”, zegt Hofmans. “Een pluim voor het CCB. De communicatie- en infokanalen die ze hebben opgezet, hebben ervoor gezorgd dat België een van de koplopers van NIS2 is wereldwijd.”
Voor Intigriti en andere bug bounty-bedrijven is het cruciaal om klanten te laten zien dat hun data in veilige handen is. “We hebben een zware verantwoordelijkheid naar onze klanten toe”, zegt Hofmans. “Als er ook maar enige twijfel bestaat over hoe wij omgaan met hun meest kritieke data, doen we iets fout.”
lees ook
NIS2: deadline verstreken, maar onduidelijkheid blijft
Dat maakt NIS2 een waardevolle basis voor het versterken van de beveiliging van bedrijven. “Het gaat verder dan ISO-certificeringen. NIS2 biedt een meer diepgaand framework dat helpt om risico’s beter te beheren.”
Daarnaast verplicht de richtlijn bedrijven om strenger te kijken naar hun leveranciers. “Supply chain-vereisten waren onbestaand bij NIS1”, legt Hofmans uit. “Dat begint nu meer en meer een groeiend risico te vormen. Waarom zouden we strenge voorwaarden voor onszelf opleggen als we die ook niet aan onze leveranciers opleggen? Deze maken tenslotte een deel van het bedrijf uit.”
Van NIS1 naar NIS2: wat verandert er?
De overgang van NIS1 naar NIS2 brengt grote veranderingen met zich mee. Hofmans ziet in de verhoogde focus op verantwoordelijkheid een belangrijke vooruitgang. “De verantwoordelijkheid wordt veel harder aangepakt, wat ervoor zorgt dat we een merkbaar verschil gaan zien in cybersecurity.”
Ook de verplichting om incidenten te rapporteren aan het CCB wordt belangrijker. Als een bedrijf slachtoffer is van een significante cyberaanval, moet dat binnen de 24 gemeld zijn bij het Belgische CERT. Binnen de 72 uur moet een meer gedetailleerd rapport volgen. Na een maand moet dan een finaal, volledig rapport volgen met de beschrijving, oorzaken en vervolgstappen. “Die rapportage helpt om zwakheden aan het licht te brengen en biedt een goede basis om verder op te bouwen. It keeps us on our toes.”
“NIS2 biedt ons een meer diepgaand framework dat helpt om risico’s te beheren.”
Niels Hofmans
Een ander belangrijk aspect is de uitbreiding van het cyberfundamentals framework dat bedrijven helpt om gegevens te beschermen en het risico op de meest voorkomende cyberaanvallen te verminderen. “Als een bedrijf bij ons aanklopt, kunnen we meteen verwijzen naar die cyberfundamentals 2.0”, zegt Hofmans.
Welke uitdagingen liggen er nog op de loer?
Hoewel de voordelen van NIS2 duidelijk zijn, hebben bedrijven nog steeds met uitdagingen te kampen. “Er zijn nog genoeg bedrijven die niet wakker liggen van de richtlijn”, waarschuwt Hofmans. De gevolgen van het niet voldoen zijn echter aanzienlijk. “Sancties kunnen leiden tot het ontslag van managementpersoneel, of boetes tot tien miljoen euro. Dat gaat ver.”
lees ook
Poll: heeft NIS2 een impact op jouw bedrijf?
Hofmans benoemt ook enkele pijnpunten: “Misschien hadden ze meer kunnen inzetten op officiële NIS2-communicatie naar bedrijven toe in plaats van enkel te berichten via sociale media.”
Hij heeft het ook over bedrijven die voorheen nog niet bezig waren met NIS2. “We gaan wel problemen zien bij bedrijven die nu pas beginnen met NIS2-naleving. Er zijn veel bedrijven die nu in aanmerking komen voor NIS2, maar daar nooit mee bezig zijn geweest of iets gedocumenteerd hebben. Da’s een zure appel om doorheen te bijten.”
Het is duidelijk dat de NIS2-wetgeving een positieve impact heeft op zowel cybersecurityplatformen als andere sectoren. Er zijn nog een aantal uitdagingen voor bedrijven die nu pas in aanmerking komen, maar ze zijn niet onoverkomelijk. Het CCB moet proactief blijven werken en de richtlijnen, net zoals het framework, up-to-date houden.