De NIS2-wetgeving dwingt bedrijven om hun beveiligingsaanpak onder de loep te nemen en te kiezen voor een holistische benadering te gaan, waarbij organisaties hun cybersecurity niet langer als losse onderdelen benaderen.
NIS2 staat hoog op de agenda, maar bij veel organisaties ontbreekt nog steeds het gevoel van urgentie om echt in actie te schieten. Terwijl de Europese richtlijn al van kracht is in België, en de invoering ook in Nederland onherroepelijk dichterbij komt, schuiven heel wat bedrijven hun security-aanpak nog voor zich uit door een gebrek aan tijd, kennis en budget.
“Veel bedrijven zullen pas aan de alarmbel trekken wanneer het te laat is, maar dan gaat het net veel meer geld kosten”, aldus Gijs Reijns, Product Manager bij Copaco Nederland. Samen met zijn Belgische tegenhanger, Warre De Boever, Internal Sales bij Copaco België, bekijken we de NIS2-situatie in beide landen.
Urgentie ontbreekt
NIS2 is een veelbesproken topic, maar nog lang niet alle bedrijven zijn compliant met deze wetgeving. Volgens De Boever heeft dit onder andere te maken met ontbrekende tijd en hoge kosten. “Security wordt nog te vaak gezien als een grote kost, het vraagt veel tijd en extra werkkrachten binnen een bedrijf.”
Bovendien benadrukt hij het gebrek aan een urgentiegevoel. “Er heerst nog te weinig hoogdringendheid bij bedrijven, waardoor ze de nodige maatregelen al sneller op de lange baan schuiven. Deze bedrijven hebben vaak nog geen grote security-incidenten of cyberaanvallen meegemaakt”, stelt hij.
Consultants kunnen de urgentie rond NIS2 versterken.
Gijs Reijns, Product Manager bij Copaco Nederland
Verder merkt De Boever op dat we ons in een tussenperiode bevinden. “Er wordt nog geen concrete handhaving of controle uitgevoerd”, stelt hij. “Sancties zoals het stilleggen van activiteiten en openbaarmaking van niet-naleving zijn nog niet voelbaar. Dat geeft bedrijven het gevoel dat ze nog tijd hebben, terwijl de verplichtingen wel degelijk al bestaan.”
Holistische aanpak
De hoge kosten en het gebrek aan tijd en kennis hebben te maken met de grote complexiteit die komt kijken bij de beveiliging van een bedrijf. Beijns merkt op dat ondernemingen niet altijd een duidelijk overzicht hebben van hun digitale beveiliging. “Een bedrijf dat bijvoorbeeld sterk inzet op datamanagement, moet weten waar de data zich bevinden, hoe vaak ze gedeeld worden en wie er allemaal aan kan.”
Die complexiteit en risico’s nemen verder toe door het gebruik van moderne tools, zoals AI. Reijns ziet dat organisaties bijvoorbeeld volop werken met Copilot en daarbij gevoelige data delen, zonder zich voldoende bewust te zijn van de risico’s. “Als je geen grip hebt op wie wat mag zien of gebruiken, loop je het risico dat data ongewenst naar buiten lekken.”
lees ook
Als één front tegen cyberdreigingen: zo krijgen we kmo’s mee op de NIS2-trein
Volgens De Boever is cybersecurity complex, omdat het uit verschillende aspecten bestaat. “Een effectieve beveiliging begint met een goed fundament: het beveiligen van data, solide netwerk- en endpointbeveiliging en het goed regelen van toegangsbeveiliging, door bijvoorbeeld multi-factor authenticatie,” zegt hij.
“Ik geloof sterk in een holistische aanpak van security. Met de juiste security-oplossingen kunnen organisaties overzicht creëren door deze onderdelen centraal te beheren en continu te monitoren, waardoor afwijkingen sneller worden gedetecteerd.”
Nederland vs. België
NIS2 is een Europese richtlijn. Dit betekent dat alle Europese landen zelf kunnen bepalen wanneer de richtlijn in een wetgeving wordt gegoten en dus officieel van kracht gaat. De heren merken een duidelijk verschil in tempo op tussen de buurlanden Nederland en België.
“In Nederland speelt NIS2 heel wat minder aangezien de wetgeving nog niet van kracht is”, weet Reijns. “Grote organisaties weten dat het eraan komt en zijn ermee bezig, maar voor kleine bedrijven is dat momenteel nog geen prioriteit.” De Boever vult aan: “Met de huidige politieke situatie is het niet eenvoudig om de NIS2-richtlijnen in een wetgeving te gieten in Nederland.”
Alles wordt in België reeds goed verpakt en dat proberen we vervolgens over te nemen in Nederland.
Gijs Reijns, Product Manager bij Copaco Nederland
Hij merkt bovendien op dat hoewel de wetgeving reeds één jaar van kracht is in België, er toch nog steeds onduidelijkheid bestaat bij bedrijven. “In welke mate organisaties er mee bezig zijn, hangt ook af van hun grootte. Grote organisaties zijn hier al lang mee bezig, maar bij kmo’s is er nog meer werk aan.”
Nut van een partner
Binnen het hele NIS2- en securityverhaal probeert Copaco zich te positioneren als een betrouwbare partner. “We begeleiden klanten op basis van bewustwording en kennisdeling. Wat is de regelgeving, waar moet je opletten en hoe word je compliant, zijn vraagstukken die wij samen met de klant beantwoorden”, aldus Reijns. Consultants proberen samen met de eindklant de juiste stappen te nemen om NIS2-compliant te zijn.
“Het belangrijkste is dat NIS2 geen checklist is,” benadrukt de Boever. “Het biedt juist kansen voor IT-bedrijven om zich te ontwikkelen tot een strategische businesspartner voor hun eindklanten, met als doel die beter te beschermen en weerbaar te maken tegen cyberrisico’s.”
Dit redactionele stuk kwam tot stand in samenwerking met ITdaily-partner Copaco. Om bedrijven te informeren over NIS2, heeft Copaco een podcast opgezet. Via die weg wil het bedrijf zijn kennis en ervaring delen, alsook het bewustzijn rond NIS2 vergroten. Aan de hand van verschillende cases leren bedrijven hoe ze hun beveiliging meer volwassen kunnen maken. Klik hier voor meer informatie.