Op vrijdag 18 oktober is de nieuwe NIS2 richtlijn van kracht gegaan in Europa. De NIS2-richtlijn is een initiatief van de Europese Unie om de informatieveiligheid en cyberweerbaarheid in heel Europa te versterken. Het is een voortzetting van de oorspronkelijke NIS-richtlijn en dient als basis voor nationale wetgeving in de lidstaten. Wat zijn de gevolgen voor bedrijven en hun bestuurders?
Sowieso zijn bedrijven vandaag een stuk digitaler georganiseerd dan tien of twintig jaar geleden. Er worden meer data verzameld en opgeslagen. In die zin is NIS2 een perfect logische en zinvolle maatregel om die data beter te beschermen in lijn met een meer gedigitaliseerde organisatie. Het komt erop aan dat bestuurders de richtlijn in grote lijnen begrijpen en dat experts ze kunnen toepassen. Paniek is niet nodig, maar actie en gezond verstand wel. Let wel, NIS2 gaat live voor de landen, maar de instellingen hebben nog 30 maanden de tijd om deze te implementeren. Dat neemt niet weg dat proactief zijn nu al een must is, want de boetes kunnen oplopen tot verschillende procenten van de omzet voor wie echt hardleers is.
Achtergrond
NIS2 is de logische opvolging van NIS1 met verfijning én sanctiemechanisme. NIS2 bevat niet zoveel nieuwe maatregelen, maar de toepassing ervan wordt nu menens. Eigenlijk gaat het om regels die gezond verstand vooropstellen. Europa vraagt bedrijven in de 18 specifieke sectoren om basisregels rond informatieveiligheid toe te passen waar niemand tegen kan zijn, vind ik. Door de vele ransomware, leveranciers-security-problemen en geconnecteerde toepassingen wordt de richtlijn des te relevanter. Investeringen in informatieveiligheid zijn nodig. Een investering in informatieveiligheid van 1% van de totale omzet is een minimum, en dat percentage zal nog stijgen over heel Europa, zeker voor bedrijven die met bergen digitale data werken.
Bedrijven moeten zich ook registreren tegen einde maart 2025 bij het CCB, het Centrum voor Cybersecurity België door de wettelijke vertegenwoordiger van de onderneming (lees de persoon of personen vermeld in het Belgisch Staatsblad).
Aanbevelingen
Bedrijven en bestuurders die binnen de scope vallen van NIS2 bereiden zich best nu al voor. Kmo’s vallen er doorgaans niet onder, maar wel als ze aanzien worden als kritische leveranciers door hun klanten die onder NIS2 vallen. Zelfs consultants kunnen eronder vallen als ze kritische diensten leveren aan bedrijven die onder NIS2 vallen. Goed opletten is dus de boodschap.
Ik geef hieronder zeven concrete aanbevelingen rond NIS2 voor bestuurders.
1) Begrijp waarover het gaat. Bestuurders moeten de scope van NIS2 begrijpen en hoe het wordt toegepast in de organisatie. Weten of de onderneming al dan niet in scope is, is de eerste stap.
2) Breng cyberrisico’s in kaart en volg ze op: bestuurders en directieleden moeten grondige evaluaties doen van cyberrisico’s en potentiële cyber bedreigingen in kaart laten brengen.
3) Herbekijk uw cyberrisicobeleid: bestuurders en bedrijfsleiders moeten ervoor zorgen dat het cyberrisicobeleid up to date is en dat het is afgestemd op de NIS2-vereisten. Het beleid moet minstens systeembeveiliging, reactie op cyberincidenten, databeveiliging en IT recoveryplannen omvatten.
4) Neem uw actieplan op cyberincidenten er nog eens bij en update het. Bestuurders en bedrijfsleiders moeten een doeltreffend actieplan voor cyberincidenten hebben waarbij de organisatie inbreuken en cyberincidenten kan opsporen, rapporteren en rechtzetten.
5) Zorg voor voldoende opleiding. Alle medewerkers, inclusief bestuurders en directieleden, moeten opleidingen krijgen rond cyberveiligheid zodat iedereen weet wat zijn of haar taken zijn.
6) Update de rapportering en documentatie: bestuurders en directieleden moeten procedures op punt zetten om cyberrisico’s te documenteren en te rapporteren indien NIS2 dit vereist. Dat omvat tijdige melding aan de overheden en stakeholders.
7) Herbekijk de NIS2 compliance audits. Auditeer regelmatig de cybersecurity maatregelen en compliance praktijken zodat ze aansluiten bij de NIS2 vereisten. Deze audits kunnen intern of door externe experts gebeuren.
In een notendop: NIS2 is zinvol. Bestuurders moeten NIS2 begrijpen en mee opvolgen op basis van gezond verstand. Bekijk informatieveiligheid als een proces zoals de boekhouding.
NIS2 is een opstapje naar de aanstelling van een Chief Security Officer (CSO)in het directiecomité van bedrijven die een algeheel veiligheidsbeleid willen, zowel offline als online, en die streven naar een optimale veiligheidsmaturiteit.
Slimme bedrijven hebben door dat dit efficiënt moet worden georganiseerd, en niet op basis van een project net als een steekvlampolitiek. Informatieveiligheid verdient volgens mij namelijk de permanente installatie van een apart informatieveiligheidscomité met kennis van zaken binnen de raad van bestuur naast de reeds bestaande strategische, nominatie, renumeratie, audit (en innovatie) comités. Bestuurders, doe er uw voordeel bij en denk erover na.
Deze tekst werd geschreven door Marc Vael, lid van het sounding board comité cybersecurity bij Guberna en voorzitter bij SAI, het Studiecentrum voor Automatische Informatieverwerking.
Read more