NIS2 komt eraan. En het zal allemaal heel, heel snel gebeuren. Inetum vraagt om een cybersecurity maturiteitsanalyse.

“Alles zal heel snel gaan”, waarschuwt Jo Leemans, directeur infrastructuur, Inetum België. Hoewel er pas eind dit jaar, of zelfs begin 2024, duidelijkheid komt over dit onderwerp, wanneer het Centrum voor Cyberbeveiliging België zijn voorbereidend werk als afgerond beschouwt, is de toepassing van de richtlijn door de betrokken organisaties vastgesteld op 17 oktober 2024! Beveiligingsspecialisten moeten dus nu al de nodige budgetten en middelen hiervoor plannen.”

De NIS 2-richtlijn is gepubliceerd: zij vervangt de richtlijn van 2016 en heeft tot doel de IT-infrastructuur van de EU beter bestand te maken tegen cyberaanvallen. De lijst van getroffen sectoren is uitgebreid. Daardoor neemt het aantal potentieel getroffen bedrijven aanzienlijk toe. Elk bedrijf moet zich dringend de vraag stellen: “Ben ik getroffen? en zo ja, een actieplan opstellen.”

Het toepassingsgebied van NIS2 wordt aanzienlijk uitgebreid

In België beveelt Inetum aan om zo snel mogelijk een routekaart voor cyberbeveiliging op te stellen met budgetten die aan de aanbevelingen van de richtlijn voldoen. Volgens een eerste schatting van het CCB zouden zo’n 2.400 Belgische bedrijven onder het toepassingsgebied van de nieuwe wetgeving vallen. Deze omvat 11 meer sectoren dan de NIS 1-richtlijn.

Het toepassingsgebied is veel ruimer. In NIS2 is het aantal organisaties waarvoor de verplichtingen gelden, uitgebreid. NIS 1 was strikt gericht op exploitanten van essentiële diensten met de wettelijke status van exploitant van vitaal belang; NIS 2 omvat niet alleen deze zogenaamde essentiële exploitanten, maar ook actoren in de toeleveringsketen, onderaannemers en dienstverleners die belast zijn met kritieke infrastructuur. Tot de betrokken sectoren behoren nu de actoren van de agrovoedingsindustrie, de productie, post- en koeriersdiensten, afvalbeheer, distributie van chemische producten, lokale overheden, overheidsdiensten (met uitzondering van defensie, nationale en openbare veiligheid, rechtshandhaving), fabrikanten van kritieke producten…

De minimale maatregelen zijn al bekend!

Officieel moet de regering de richtlijn nog omzetten in Belgisch recht. En omzetten in wetgeving. Daarom is de definitieve wetgeving nog niet helemaal duidelijk. Maar het is ook zo dat alle EU-lidstaten ervoor moeten zorgen dat de betrokken organisaties de nodige maatregelen toepassen en verantwoordelijk kunnen worden gesteld als ze niet worden genomen.

De minimale maatregelen zijn al bekend. Zij omvatten de verplichting om een risicobeoordeling uit te voeren, een incidentenbestrijdingsplan te hebben, het management een cyberbeveiligingsopleiding te geven, een bedrijfscontinuïteitsplan, een beleidshandvest en schriftelijke procedures om de doeltreffendheid van de genomen beveiligingsmaatregelen te beoordelen, enz. Ten slotte moeten passende technische, operationele en organisatorische maatregelen worden genomen om de beveiligingsrisico’s te beheren, incidenten te voorkomen of de gevolgen ervan te beperken.

Aan de slag, nu!

Inetum moedigt organisaties aan onverwijld een analyse van de cyberbeveiligingsrijpheid uit te voeren en een stappenplan op te stellen in overeenstemming met NIS2. Op die manier hebben ze de tijd om de nodige stappen te zetten en veilig verder te gaan en tegelijkertijd aan de nieuwe richtlijn te voldoen.

“Idealiter zou het mogelijk moeten zijn de maatregelen dit jaar in te voeren”, adviseert Jo Leemans. De kosten zouden dan worden gespreid.

In de praktijk heeft Inetum een honderdtal beveiligingsspecialisten in België; het bedrijf werkt ook samen met zijn nearshore experts in Spanje.

“Om te vermijden dat ze slachtoffer worden van cybercriminaliteit, of om die mogelijkheid op zijn minst te minimaliseren, raadt Inetum elke organisatie aan om haar cyberbeveiliging op te trekken tot de normen die de richtlijn voorschrijft“, zegt Koen Tamsyn, Solution Manager Cybersecurity, Inetum België. “Organisaties die niet tot de genoemde sectoren behoren, moeten ook een maturiteitsanalyse uitvoeren om te zien waar ze staan en hoe goed ze beschermd zijn tegen mogelijke aanvallen. Aangezien de richtlijn sterk gericht is op de bestaande relatie tussen bedrijven en hun leveranciers, zullen bedrijven die onder deze verordening vallen ten slotte ook het beveiligingsniveau van hun leveranciers moeten beoordelen. “De NIS 2-richtlijn is dus indirect ook van toepassing op leveranciers”, besluit Koen Tamsyn. Hieruit blijkt eens te meer de omvang van het toepassingsgebied.