De tijd dat enkel IT verantwoordelijk was voor cybersecurity, ligt inmiddels ver achter ons. Niet alleen belangt het de volledige organisatie aan, er is ook een grensoverschrijdende aanpak nodig die de cybersecuritystrategie van alle bedrijven op elkaar afstemt. Europa werkt daarom aan een reeks richtlijnen die in de komende twee jaar op elk bedrijf een serieuze impact zullen hebben.
Dat cybersecurity organisaties zorgen baart, blijkt uit het meest recente Beltug Priorities Compass. Zes van de tien vaakst genoemde prioriteiten van de Belgische ICT beslissingsnemers hebben te maken met beveiliging. Vooral databeheer en het beschermen van data zijn daarbij belangrijke uitdagingen. Terwijl digitaal werken overal een must is geworden, mogen we niet blind zijn voor de risico’s die dit met zich meebrengt. Wie heeft toegang tot welke gegevens? En ben je wel zeker dat ex-medewerkers niet meer aan kritieke data kunnen?
Bovendien beperkt cyberbeveiliging zich niet tot wat er binnen de digitale perimeter van je eigen organisatie gebeurt. Wellicht gebruikt je bedrijf software afkomstig van leveranciers en dan moet je zeker zijn dat ook die externe partijen security ernstig genoeg nemen. Cybercriminelen zijn vandaag zo goed georganiseerd dat we dit enkel met een overkoepelende strategie kunnen aanpakken. En daarvoor kijken we uiteraard naar de Europese Unie. Op dit moment staan er drie initiatieven in de steigers waar ook jouw bedrijf weldra direct of indirect mee te maken krijgt.
NIS2
NIS2 is de opvolger van de eerste NIS-wet die sinds 2019 in de nationale Belgische wetgeving van kracht is. De richtlijn verplicht EU-lidstaten om samen te werken rond cybersecurity, aangezien dit een steeds grotere invloed heeft op de Europese economie en samenleving. Terwijl de originele wet in ons land betrekking heeft op een honderdtal bedrijven met kritieke activiteiten, zal de scope van NIS2 naar liefst 2.000 organisaties uitbreiden. En veel van die bedrijven zijn zich daar nog niet van bewust.
Sectoren die in de richtlijn als essentieel worden beschouwd, zijn: energie, vervoer, bankwezen, financiële infrastructuur, gezondheidszorg, distributie van drinkwater, verwerking van afvalwater, ruimtevaart, overheid en digitale infrastructuur. Daarnaast komen er ook minder zware maatregelen voor bedrijven in andere sectoren, gaande van koerierdiensten tot producenten van levensmiddelen en digitale providers. België heeft nog 21 maanden om deze nieuwe richtlijn in de wetgeving op te nemen. Eind 2024 moeten alle betrokken bedrijven er dus aan voldoen.
Waarin NIS2 van z’n voorganger verschilt? Organisaties zullen verplicht zijn om een cyberincident, en zelfs een dreiging, binnen 24 uur te melden. Daarnaast dwingt de richtlijn bedrijven om met leveranciers rond de tafel te gaan zitten. We zien immers steeds vaker dat cybercriminelen erin slagen om het netwerk van een organisatie via een achterpoortje bij een partner binnen te dringen. Negeer NIS2 zeker niet, want de boetes zijn niet mals. En uiteindelijk streeft de richtlijn toch naar een nobel doel: een veiligere digitale wereld waarin je organisatie zorgeloos kan groeien.
Cybersecurity Act & Cyber Resilience Act
Zelfs als NIS2 niet van toepassing is op jouw organisatie, dan zijn er nog twee andere initiatieven waar je rekening mee dient te houden. De Cybersecurity Act wil een certificeringskader voor beveiliging in de EU tot stand brengen. Vergelijk het met de streng gereguleerde autosector. Wanneer je een nieuwe wagen koopt, ga je ervan uit dat de airbag of een ander beveiligingssysteem goed werkt. Op dezelfde manier schaffen veel bedrijven software aan zonder vragen te stellen over security bij hun leveranciers. Omgekeerd kunnen ontwikkelaars van software onmogelijk per land gaan uitpluizen wat de regels rond cybersecurity zijn. Dankzij deze wetgeving zullen organisaties in de EU hun ICT-producten en -diensten in één keer kunnen certificeren met een certificaat dat in de hele EU wordt erkend.
De Cyber Resilience Act is een ander wetsvoorstel dat producten met digitale elementen – zoals IoT-devices – vanaf de ontwerp- en ontwikkelingsfase wil beveiligen. Zelfs speelgoed kan vandaag immers geconnecteerd zijn. Deze wet is voorlopig wel nog minder concreet dan de beide andere initiatieven.
Hoe bereid je jezelf voor?
Cybersecurity is voor iedereen belangrijk. Wacht dus niet op de bovenstaande wetten of tot wanneer je zelf het slachtoffer wordt van een cyberaanval. Je staat er ook niet alleen voor, want organisaties zoals het Centre for Cybersecurity Belgium (CCB) zullen bedrijven zeker een handje helpen.
Zorg er hoe dan ook voor dat de Raad van Bestuur nu al mee is in het cybersecurityverhaal. Zonder budget kan je immers geen strategie uitbouwen. In veel organisaties is dit vandaag nog een probleem, vooral omdat de bestuursleden het onderwerp te technisch vinden. Maak daarom een vertaalslag en overrompel je directie niet met moeilijke termen. Leg liever uit wat een risico inhoudt, wat er nodig is om het te verhelpen en hoeveel het zou kosten als het risico tot een cyberaanval zou leiden.
Cybersec Europe
In een wereld waarin veel bedrijven op internationale schaal actief zijn, volstaat het lappendeken aan lokale wetgevingen niet meer. Technologie overschrijdt de landsgrenzen en daarom moeten we een sterk Europees kader uitbouwen. Beurzen zoals Cybersec Europe zijn dan ook belangrijke momenten om aan kruisbestuiving te doen. Enkel door kennis te delen en samen te werken, kunnen we de fundamenten leggen van een veilige en succesvolle cybermaatschappij.
Dit is een ingezonden bijdrage van Danielle Jacobs, CEO Beltug, Vereniging van CIO’s en ICT-beslissers. Beltug is één van de partners van Cybersec Europe 2023, dat op 19 en 20 april plaatsvindt.