Steeds meer bedrijven registreren zich voor NIS2, maar het zijn voornamelijk kmo’s die achterop hinken. Hoe kunnen we hen wegwijs maken in het beveiligingslandschap?
“Wil je als kmo tot het ecosysteem blijven behoren, moet je wel meesurfen op de NIS2-golf”, begint Bart Loeckx, Director Networking & Security bij Telenet Business. Kmo’s botsen vaak op moeilijkheden zoals ontbrekende kennis en budget om hun IT-infrastructuur in te richten conform de NIS2-regelgeving.
Tijdens een rondetafelgesprek, georganiseerd door ITdaily, buigen experten uit het veld zich over een gezamenlijke oplossing. “We moeten de versnipperde expertise binnen de markt bundelen en tot bij de kmo brengen”, vertelt Johan Klykens, Cybersecurity Certification Authority (NCCA) bij het CCB.
Rond de tafel zitten nog Ron Nath Mukherjee, Cybersecurityconsultant bij Eset, Sabine van Hoijweghen, Head of Sales en Partner bij Secutec en Patrick Banken, Business Development Manager bij Kappa Data.
Registreren of niet?
Ondertussen is de eerste fase van NIS2 gestart, namelijk de registratie. “Momenteel is het nog koffiedik kijken hoeveel entiteiten zich moeten registeren”, stelt Klykens. Hij legt de actuele cijfers op tafel: “1.500 essentiële en 2.500 belangrijke entiteiten hebben zich vandaag geregistreerd in België. Deze cijfers liggen momenteel hoger dan we initieel hadden ingeschat.”
De eerste fase blijkt voor veel kmo’s al een struikelblok te zijn. “Heel wat kleine ondernemingen komen uit de lucht vallen en weten niet of ze überhaupt aan de NIS2-regelgeving moeten voldoen”, luidt het rond de tafel.
Klykens vindt dit nochtans opvallend. “Het CCB fungeert als hefboom voor iedere organisatie. Kmo’s kunnen ons via mail vragen of ze onder de NIS2-regelgeving vallen, waarop wij meteen een duidelijk antwoord kunnen geven”, merkt hij op.
Evangeliseren
De meeste kmo’s kijken de kat uit de boom als het gaat over NIS2. Mukherjee: “Bij Eset merken we op dat kmo’s in Wallonië een zeer afwachtende houding aannemen. Daar moeten we een jaar na datum nog evangeliseren.”
Banken voegt hieraan toe dat het lang niet alleen in Wallonië het geval is, maar ook in Vlaanderen. “We merken een stijging op binnen onder andere Incident Detection and Response (IDR), alleen wordt daarmee niet het volledige netwerk gedekt. De cybersecuritymaatregelen moeten veel breder geïmplementeerd worden”, stelt hij.
Ook van Hoijweghen benadrukt de onwetendheid bij kmo’s en maakt een onderscheid tussen twee soorten bedrijven: “je hebt organisaties die security altijd al ernstig namen en de richtlijn zien als een logische volgende stap waarbij ook het topmanagement zijn verantwoordelijkheid opneemt, en bedrijven die nu plots een sprong vooruit moeten maken maar daarvoor de mensen en budgetten missen. Bij die laatste groep leidt dat vaak tot onzekerheid of zelfs paniek, omdat ze nooit eerder structureel met cybersecurity aan de slag gingen.”
Kennis en kosten
De ontbrekende kennis en hoge kosten liggen volgens de deelnemers aan de basis van de onzekerheid bij kmo’s. Sommige kleine ondernemingen hebben gewoonweg niet de financiële middelen om te investeren in hun IT-infrastructuur, of weten niet waar ze in moeten investeren. “Bedrijven kunnen kiezen voor oplossingen die een half miljoen euro kosten of een eenvoudige licentie-update van enkele euro’s waar de standaardconfiguratie inbegrepen zit. Voor kmo’s ontbreekt de juiste kennis om een kostenefficiënte keuze te maken”, aldus Klykens.
Cybersecurity wordt nog te vaak als een puur IT-probleem gezien.
Patrick Banken, Business Development Manager bij Kappa Data
“Cybersecurity wordt bovendien nog te vaak als een puur IT-probleem gezien, terwijl het eigenlijk een bedrijfsbreed risico is”, stelt Banken. “Binnen de kmo wordt er op C-level nog naar cybersecurity gekeken als een puur IT-probleem, terwijl dat vandaag de dag al lang niet meer zo is. Het is belangrijk dat we ook binnen het management awareness creëren.”
Prioriteiten stellen
“Als je niet weet wat je moet beschermen, waar begin je dan?”, stelt Loeckx zich de vraag. Hij wijst de deelnemers op een secure by design-aanpak. “Beveiliging is niet louter een wettelijke verplichting, maar een investering in business continuïteit. Het is een mentaliteitsverandering die bedrijven moeten ondergaan. Bedrijven dienen hun kritieke assets in kaart te brengen om zich vervolgens af te vragen wat er gebeurt als die getroffen worden.”
Je investeert niet in NIS2, maar wel in je business continuïteit.
Bart Loeckx, Director Networking & Security bij Telenet Business
“Wat heb ik morgen als bedrijf nodig om mijn activiteiten verder te zetten?”, begint Loeckx. In het antwoord op deze vraag zitten jouw prioriteiten als bedrijf vervat. Hij verduidelijkt dit met een voorbeeld. “Een cateringbedrijf dat plots alle contactgegevens van zijn klanten kwijt is, en bijgevolg niet weet wat en waar er geleverd moet worden, die informatie is voor het bedrijf prioritair om zijn activiteiten uit te voeren.”
Ook van Hoijweghen benadrukt het belang van prioriteiten stellen. “Elk bedrijf bevindt zich op een ander maturiteitsniveau op gebied van security. Het is belangrijk om te analyseren welke losse elementen er aanwezig zijn om er vervolgens de prioriteiten uit te halen. Je kan niet alles tegelijkertijd aanpakken”, stelt ze. Een adviseur kan de kmo helpen om stap voor stap te bepalen welke maatregelen nodig zijn en hoe ze realistisch kunnen worden ingevoerd.
Ecosysteem van partners
“Kmo’s werken bovendien vaak met een vertrouwde IT-partner”, stelt van Hoijweghen. Hierdoor zullen ze minder snel met een aparte cybersecurityspecialist willen werken. Secutec speelt hierop in door zich bewust achter die IT-partners te positioneren.
De IT-partner van een kmo hangt zijn wagonnetje aan ons en wij voorzien de nodige informatie.
Sabine van Hoijweghen, Head of Sales en Partner bij Secutec
“We leveren de nodige kennis, tools en feeds zodat de partner zijn klant goed kan begeleiden, zonder zelf alle security-expertise te moeten hebben”, legt ze uit. Zo behoudt de kmo het vertrouwde aanspreekpunt, terwijl Secutec op de achtergrond de ondersteuning garandeert.
Krachten bundelen
De expertise binnen de markt is versnipperd. Mukherjee ervaart dit voornamelijk binnen overheidsdiensten. “We krijgen van steden en gemeenten vaak de vraag of er een gedeelde oplossing bestaat omdat ze het bos door de bomen niet meer zien.”
Iedereen rond de tafel is het eens over een gezamenlijke aanpak om kmo’s mee op de NIS2-trein te krijgen. Klykens spreekt over een samenwerking tussen securitybedrijven en IT-leveranciers om een gecertificeerde dienst te bieden aan kmo’s. “Zeker voor de kleine ondernemingen met amper tien werknemers die niets kennen, en hoeven te kennen, van IT maar gewoon op zoek zijn naar een oplossing”, stelt hij. Dit is een volgende stap waarbij het CCB heel concreet aan de slag zal gaan samen met de actoren.
Ook managed services wordt door Banken naar voren geschoven als oplossing voor kmo’s die de kennis niet in huis hebben om hun IT-infrastructuur in te richten conform NIS2. Op die manier kunnen kmo’s rekenen op continue monitoring, patching en opvolging zonder zelf een intern securityteam uit te bouwen.