Wat te verwachten na NIS2?
De toekomst van cybersecurity in Europa staat op het punt te veranderen met de komst van NIS2. Deze richtlijn wordt beschouwd als een essentieel instrument voor de beveiliging van netwerken en informatiesystemen in Europa.
Om het stijgende aantal cyberaanvallen te counteren voerde Europa zijn regelgeving voor cyberbeveiliging en digitale weerbaarheid gevoelig op. Sinds 18 oktober 2024 moeten Belgische bedrijven die onder de NIS2-cyberbeveiligingswet vallen, voldoen aan specifieke maatregelen en cyberincidenten melden. Ook moeten ze zich registreren op het platform safeonweb@work. “De regels zijn van kracht voor bedrijven met meer dan 50 werknemers, een jaaromzet van meer dan 10 miljoen euro en actief in een 18-tal sectoren”, schetst Johan Klykens, Director Cybersecurity Certification Authority bij het Centrum voor Cybersecurity België (CCB). Het centrum is toezichthouder.
Toegenomen complexiteit
“De geselecteerde sectoren zijn belangrijke actoren in onze economie, zoals energie, financiën, nutsbedrijven of digitale infrastructuur”, aldus Johan Klykens. Hij schat dat de nieuwe richtlijn in België van toepassing is op zo’n 2.500 ondernemingen. Zij moeten verplicht veiligheidsincidenten binnen de 24 uur melden bij het CCB. “Wie onder de NIS2-richtlijn valt, moet maatregelen nemen om zijn productie- en bevoorradingsketen te beveiligen. Wie zich niet aan de regels houdt, riskeert een maximumboete van 7 tot 10 miljoen euro”, zegt Johan Klykens, al wil hij die sancties vooral zien als een stok achter de deur, en ligt de nadruk op de begeleiding van de bedrijven.
Het vergt veel administratieve handelingen, beaamt Arnaud Martin, Expert Cybersecurity Regulation & Standardisation bij technologiefederatie Agoria. “De verantwoordelijkheid voor cybersecuritymaatregelen is verschoven naar de ondernemers zelf. Bedrijven kunnen via een tool of gids bij het CCB controleren of ze onder deze wet vallen. Een andere belangrijke vernieuwing is de focus op de beveiliging van de bevoorradingsketen, een reactie op de toenemende complexiteit van cyberdreigingen die via toeleveranciers binnenkomen. In NIS2 is er een ‘due diligence’ ten opzichte van de leveranciers en verplichting om beveiligingsgerelateerde aspecten in de contractuele relatie met de rechtstreekse leveranciers of dienstverleners toe te voegen.” Afhankelijk van de sector en de aard van hun activiteiten kunnen bedrijven verschillende prioriteiten hebben in hun bescherming. “Grote bedrijven in essentiële sectoren hebben specifieke deadlines voor certificering, terwijl dit minder strikt is voor kleinere bedrijven in andere sectoren. Bedrijven moeten bepalen welke maatregelen ze moeten nemen om de continuïteit van hun bedrijfsvoering te waarborgen en hun risico’s te beperken, afhankelijk van hun specifieke situatie.”
“Bedrijven moeten zich registreren op het platform safeonweb@work.“
Laaghangend fruit
Om de bedrijven bij te staan heeft het CCB als toezichthouder een raamwerk uitgevaardigd. Johan Klykens: “Zo kunnen ze de juiste prioriteiten leggen om proportionele maatregelen te bepalen. Wij maken daarvoor gebruik van aanvalsdata die gekend is.” Volgens Arnaud Martin zijn er vaak eenvoudige stappen te zetten. “Er is nogal wat laaghangend fruit om beveiligingsrisico’s weg te werken. Het is belangrijk om niet alleen te vertrouwen op tools en technieken, maar ook op veilige en bekende processen en op bewustgemaakte werknemers.” Twee- of meerstapsverificatie is een mooi voorbeeld van een haalbare maatregel. Voorts wordt ook steeds meer gebruik gemaakt van AI-tools en machine learning, merkt Martin op. “AI kan worden ingezet voor geavanceerde dreigingsdetectie, zoals het identificeren van afwijkingen in netwerkgedrag, terwijl machine learning helpt bij het automatisch reageren op incidenten.” Een belangrijk aspect van NIS2 is de focus op bewustwording van medewerkers.
Johan Klykens: “Bedrijven hebben een verantwoordelijkheid om hun deel van de beveiliging op zich te nemen, net zoals men thuis zijn deur op slot doet. Wereldwijd is er een trend van toenemende schade door cybercriminelen. Zelfs met de huidige inspanningen verwachten statistieken dat de situatie wereldwijd de komende jaren niet significant zal verbeteren. Dit komt deels doordat maatregelen gefragmenteerd worden ingevoerd, wat we dus anders willen aanpakken in België.”