België is één van de enige landen in Europa dat de NIS2-richtlijnen voor de deadline wist om te zetten in een nationale wetgeving.
De deadline voor de lidstaten om de Europese NIS2-richtlijnen om te vormen tot een nationale wetgeving, is verstreken. België bekleedt een voortrekkersrol en behaalt als één van de enige Europese landen de deadline. Hoe heeft ons land zich zo kunnen profileren en waarom lukt dit bij andere landen niet?
Een belangrijke katalysator bij het succesvol behalen van die deadline, is het framework van het Center voor Cybersecurity België (CCB). Dit heeft er mede voor gezorgd dat België het snelste is in vergelijking met andere lidstaten, die nu steeds meer in de richting van ons land kijken. Bovendien heeft de regering zich laten gelden en de (financiële) weg vrijgemaakt richting een waardevolle NIS2-regelgeving.
ITdaily brengt vijf experts rond de tafel om te praten over de voortrekkersrol die België opneemt binnen NIS2. We zitten samen met Alex Ongena, CEO en oprichter van AXS Guard, Ron Nath Mukherjee, Cyber Security Consultant bij Eset, Driek Desmet, System Engineer bij Easi, Koen Pauwelyn, verantwoordelijk voor Industrial Cybersecurity Services bij Siemens en Yoran Dons, ICS Security Consultant bij SoterICS.
Deadline gehaald
NIS2 is een Europese richtlijn die bedoeld is om de maatregelen voor organisaties op gebied van cyberveiligheid te versterken. De richtlijnen voor NIS2 werden eind 2022 uitgezet door de Europese Unie. Om deze maatregelen op nationaal niveau te implementeren, dienen lidstaten het wettelijk kader van de Europese Unie om te zetten naar een nationale wetgeving.
De deadline voor deze omzetting was 17 oktober 2024, en is ondertussen verstreken. België is één van de twee landen in Europa die de deadline voor de NIS2-regelgeving behaalde. Nu is het aan de Belgische organisaties om te voldoen aan deze NIS2-regelgeving, of ze moeten de gevolgen dragen. “Organisaties krijgen tot maart 2025 de tijd om NIS2-compliant te zijn”, licht Desmet toe.
Pluimen voor CCB
Dat ons klein Belgenlandje uitblinkt op gebied van de NIS2-regelgeving, is een opvallende prestatie. Iedereen rond de tafel is het erover eens: Het Center voor Cybersecurity in België (CCB) heeft goed werk geleverd. “Het CCB heeft een mooi framework ontwikkeld”, vertelt Desmet. “In ons land hebben we dankzij hen het meest concrete NIS2-voorbeeld in Europa”, beaamt Dons.
In ons land hebben we dankzij het CCB het meest concrete NIS2-voorbeeld in Europa.
Yoran Dons, ICS Security Consultant bij SoterICS
Er weerklinken doorheen het hele gesprek veel lovende woorden over het CCB. Toch blijven er ondanks het goede framework nog onduidelijkheden voor sommige bedrijven. Pauwelyn duidt dit met een voorbeeld. “Veel bedrijven weten niet goed tot welke sector ze precies behoren binnen het NIS2-framework, en welk label ze toegekend krijgen. Behoor ik als bedrijf tot de essential-schijf, of niet? Binnen NIS2 dienen bedrijven zelf het initiatief te nemen om zich te registreren, ze worden dus niet (zoals bij NIS1) door het CCB aangeschreven.”
Nationale wetgeving
NIS2 is een Europese richtlijn die door alle lidstaten vertaald moet worden naar een nationale wetgeving. “Er zijn heel wat internationale bedrijven in België en dat roept nieuwe vragen op”. Pauwelyn vindt het jammer dat NIS2 geen Europese verordening geworden is. Deze is automatisch en op dezelfde manier geldig in alle EU-landen.
Ongena sprak hier recent nog over met het CCB. Dat NIS2 geen Europese wetgeving is, heeft te maken met een evenwicht tussen de richtlijnen en de snelheid van implementie. “Als je in Europa een wet wil maken die in 28 landen van toepassing is, wordt dat al snel een project van tien jaar”, licht Ongena toe. “Wanneer je start met een directief te geven dat op elk land geïmplementeerd moet worden, gaat dat veel sneller”.
Alle andere landen zullen nu in de richting van België kijken.
Alex Ongena, CEO en oprichter AXS Guard
Blijkbaar is België het snelst geweest in de omzetting van NIS2 naar een nationale wetgeving. “Alle andere landen kijken nu in de richting van België. Heel veel landen zullen dat gaan overnemen om het warm water niet te moeten uitvinden”, verwacht Ongena. Aan het einde van de rit krijg je dus over verschillende landen heen toch min of meer hetzelfde resultaat.
Andere landen
“We hebben heel wat klanten die internationaal zijn en vestigingen hebben in landen zoals Duitsland of Frankrijk”, begint Pauwelyn. Als je dan met Belgische wetgeving naar die landen gaat, weten ze vaak niet wat ze hiermee moeten doen. “Om die reden kiezen deze internationale bedrijven al sneller voor het ISO 27001-traject omdat dat internationaal gekend is”, gaat Pauwelyn verder. “Ondertussen staan we al wat verder”, vult Mukherjee aan. “Vroeger was het ieder voor zich, maar vandaag is er al een wettelijk kader rond gecreëerd.”
België als pionier
In heel het NIS2-verhaal mogen we dus trots zijn op ons land. België heeft hiermee het voorbeeld gegeven. “Andere landen zullen al snel in onze richting kijken om te analyseren hoe het moet”, aldus Ongena. Dit kan ervoor zorgen dat er meer uniformiteit tussen de landen ontstaat omtrent de NIS2-regelgeving.
Net zoals landen naar elkaar kunnen kijken in hoe ze de NIS2-regelgeving toepassen, gebeurt dit ook op lager niveau tussen sectoren zelf. Samenwerking wordt binnen NIS2 aangemoedigd door middel van peers. “Binnen NIS2 wordt er ook gesproken over peers, namelijk dat je jezelf kan vergelijken met iemand uit dezelfde sector. De quick win dat het ene bedrijf heeft, kan zo snel vertaald worden naar een ander gelijkaardig bedrijf”, licht Dons toe.
Het is nog niet duidelijk hoe dat er in de praktijk zal uitzien, en of ieder bedrijf hiervoor openstaat. Een zekerheid die we wel alvast hebben, is de vooruitgang van NIS2 in België op grote schaal in Europa. Iedereen rond de tafel is het er unaniem over eens: we mogen trots zijn op ons land.
Dit is het eerste redactionele artikel in een reeks van drie rond het thema NIS2. Klik op onze themapagina om alle artikelen van de ronde tafel te zien, de video en onze partners.