Kmo’s die toeleverancier zijn van grote organisaties, moeten ook NIS2-compliant zijn.
De NIS2-regelgeving is in het leven geroepen om de cyberweerbaarheid van grote bedrijven in essentiële sectoren te verhogen. Binnen die regelgeving zijn er verschillende aspecten waar rekening mee gehouden moet worden, waarvan de supply chain er één van is. Het is in die toeleveringsketen waar de kmo opduikt en plots als kleine onderneming overspoeld wordt met NIS2-gerelateerde vragen. Zijn kmo’s op de hoogte van de regelgeving en hoe complex is het voor hen?
ITdaily brengt vijf experts rond de tafel om te praten over de uitdagingen van NIS2 voor kmo’s. We zitten samen met Alex Ongena, CEO en oprichter van AXS Guard, Ron Nath Mukherjee, Cyber Security Consultant bij Eset, Driek Desmet, System Engineer bij Easi, Koen Pauwelyn, verantwoordelijk voor Industrial Cybersecurity Services bij Siemens en Yoran Dons, ICS Security Consultant bij SoterICS.
Toeleveringsketen
“NIS2 leeft ook onder kmo’s”, begint Desmet. “Veel kleine bedrijven komen bij ons aankloppen met vragen over wat NIS2 is, en welke stappen ze moeten ondernemen.” Ongena pikt hierop in: “Het leeft bij kmo’s omdat de beveiliging van de supply chain één van de aspecten binnen NIS2 is.”
Kmo’s zitten namelijk midden in die toeleveringsketen en krijgen bijgevolg lange vragenlijsten toegestuurd vanuit hun klanten. Ze proberen zo goed en zo kwaad als het gaat de vragenlijst in te vullen, “maar vaak weten ze niet altijd wat ze precies moeten aangeven”, stelt Ongena.
Uniformiteit
Kleine organisaties die toevallig leveren aan een essentiële entiteit zoals bijvoorbeeld een ziekenhuis, komen daardoor in een hoge scope van NIS2 terecht, ook al zijn ze heel klein qua schaal. Dons benadrukt het belang van een uniforme aanpak om kmo’s beter te begeleiden in het NIS2-labyrint. “Zo zouden we met dezelfde vragenlijsten kunnen werken, aangezien bedrijven op een bepaald niveau aan dezelfde controles moeten voldoen”, vertelt Dons.
“Op die manier zou je kmo’s proactief kunnen benaderen met een uniforme aanpak. “Er zijn bijvoorbeeld werkgroepen binnen Agoria die dat probleem erkennen en hier ook mee bezig zijn”, stelt hij. Ook Ongena ziet oplossingen voor kmo’s, namelijk dat ze zichzelf kunnen laten certificeren. “Ook voor kleinere bedrijven is het behalen van een ISO-certificaat of een NIS 2-label een slim idee. Wanneer je dat kan voorleggen, kan dat een kmo een enorme besparing opleveren,” licht Ongena toe.
Voor kleinere bedrijven is het behalen van een ISO-certificaat of een NIS 2-label ook een slim idee.
Alex Ongena, CEO en oprichter AXS Guard
Heel wat kmo’s worden geconfronteerd met NIS2 via hun grote klanten. De toeleveringsketen zit namelijk vol met kleine schakels. “Op een gegeven moment gaat bijna iedereen hiermee te maken krijgen. De toeleveringsketen kan soms heel lang zijn”, voegt Pauwelyn toe.
Deel van evolutie
Mukherjee kijkt anders naar die wrijvingspunten op gebied van NIS2-compliancy voor kmo’s. Hij beschouwt dit als onderdeel van de evolutie. “Dat is net de bedoeling van de regelgeving: de confrontatie met de realiteit”.
De wrijvingspunten op gebied van NIS2-compliancy voor kmo’s zijn een deel van de evolutie.
Ron Nath Mukherjee, Cyber Security Consultant bij Eset
Bovendien merkt hij op dat zijn klanten cybersecurity hierdoor minder als een kost maar meer als een investering beschouwen. “De bewustwording rond cyberveiligheid lijkt hiermee echt te groeien”, aldus Mukherjee. Pauwelyn is het hiermee eens: “Bedrijven moeten wel mee, anders vallen ze uit de boot”.
MDR bij kmo’s
Mukherjee stelt zichzelf de vraag hoe je in het algemeen de complexiteit bij kleine organisaties op gebied van cyberveiligheid kan wegnemen. “Kmo’s hebben bijvoorbeeld beperktere toegang tot MDR-services (Managed Detection and Response) zoals SOC of SIEM, in vergelijking met grotere bedrijven.”
Lagere budgetten en beperktere kennis spelen een belangrijke rol. Ongena: “Het heeft geen zin om verschillende tools en alarmen te installeren bij kmo’s, als niemand de tijd of kennis heeft om hiermee te werken.”
Heel wat securitybedrijven integreren standaardcomponenten bij de klant, die veel mensen vereisen om ze correct af te stemmen. “Het moet op de omgekeerde manier. We hebben een product met voldoende functies gecreëerd die bij iedere klant op een unieke manier toegepast kan worden. De stroomlijning, dashboards en SOC-processen zijn bij alle klanten hetzelfde waardoor de prijs ook dermate laag blijft. Op die manier kunnen ook kleine bedrijven gebruik maken van een full managed SOC”, aldus Ongena.
lees ook
XDR voor kmo’s: wat is het en waarom heb je het nodig?
Ook Desmet reikt een oplossing aan voor het SOC-probleem bij kmo’s. “We hebben een MDR-systeem van Belgische makelij, Bluehorn, dat speciaal ontworpen is voor kmo’s. Dit biedt kleine bedrijven toch een allesomvattende beveiligingsoplossing die alle endpoints met elkaar verbindt”, aldus Desmet.
Subsidiëren?
NIS2 brengt nieuwe uitdagingen met zich mee voor kmo’s. Zij zitten als kleine bedrijven vast in de toeleveringsketen en worden zo gedwongen ook NIS2-compliant te zijn. Hierdoor zitten ze vaak met de handen in het haar en zoeken ze naar antwoorden. De gevolgen voor kmo’s worden ondertussen wel erkend. Er zijn verschillende hulplijnen of alternatieven waarbij ze als klein bedrijf toch hun weg kunnen vinden naar NIS2-compliancy.
lees ook
België pionier in NIS2-regelgeving: Hoe komt dat?
Rond de tafel weergalmen bovendien verschillende MDR-alternatieven op maat van kmo’s, zodat ook kleine bedrijven een full managed SOC kunnen installeren om hun cyberweerbaarheid te vergroten.
Mukherjee legt de heren nog een laatste boeiende vraag voor: “Moet de staat subsidies uitdelen aan kmo’s en steden en gemeenten, zodat zij ook compliant kunnen zijn?” Alle deelnemers zijn akkoord met deze stelling. “Dat is een goed idee. Het is eigenlijk geld dat je in je eigen economie steekt”, besluit Dons.
Dit is het derde redactionele artikel in een reeks van drie rond het thema NIS2. Klik op onze themapagina om alle artikelen van de ronde tafel te zien, de video en onze partners.