Wat betekent NIS2 voor de publieke sector? De wetgeving verzoekt organisaties om informatiebeveiliging op continue basis aan te pakken.
Het is ongeveer anderhalf jaar geleden sinds NIS2 in werking trad. België was er snel bij om de Europese verordening om te zetten naar nationale wetgeving, maar welke impact heeft NIS2 nu echt gehad? 18 april wachtte het eerste grote examen voor de zogenaamde ‘essentiële’ organisaties: zij zullen hun conformiteit voor het eerst moeten laten beoordelen.
Als hoofd van informatiebeveiliging bij IT-dienstverlener Smals en DPO bij de Kruispuntbank van de Sociale Zekerheid komt Kurt Maekelberghe vanuit meerdere rollen in aanraking met de NIS2-wet. “Alle federale overheidsinstellingen zijn erkend als ‘essentiële entiteiten’, en de verplichtingen zijn niet anders dan voor de private sector: iedere organisatie die onder de wetgeving valt, moet maatregelen nemen om beveiligingsrisico’s te beperken”.
Risico’s eerst
NIS2 dwingt bedrijven om hun beveiliging grondig onder de loep te nemen, al leidt dit voor publieke instellingen niet noodzakelijk tot ingrijpende veranderingen. Maekelberghe: “Ik denk dat de wet zeker heeft geholpen om informatiebeveiliging onder de aandacht te brengen waar dat vroeger nog niet zou bestaan hebben. Omdat we binnen de sociale zekerheid met persoonsgegevens werken zijn wij ons al heel lang bewust van het nut en noodzaak van informatieveiligheid. De cultuur is er dus niet plots gekomen met NIS2.”
“Met de NIS2-richtlijn zijn nieuwe toezichtsmodellen ingevoerd”, gaat hij verder. “Zo moet elk significant incident voortaan gemeld worden aan het Centrum voor Cybersecurity België. Die meldingsplicht en de controle op de naleving van NIS2, zorgen ervoor dat de blik op beveiliging net iets scherper wordt gesteld. De basismaatregelen komen hierdoor net explicieter onder de aandacht. Het Centrum voor Cybersecurity België overziet de precieze impact op de markt, maar ik geloof dat NIS2 wel een afname van vermijdbare incidenten teweeg kan brengen.”
Geen straf, maar een opportuniteit
Sinds 18 maart 2025 dienen alle bedrijven die onder NIS2-richtlijn vallen zich geregistreerd te hebben. Het huiswerk is daarmee nog maar net begonnen. 18 april 2026, 18 maanden na het in werking treden van NIS2, was de volgende cruciale deadline: organisaties hebben een eerste evaluatie moeten voorleggen om aan te tonen dat ze voldoen aan de richtlijnen. “De feedback van CCB kan als basis dienen om punten ter verbetering naar boven te brengen en organisaties gerichte bijstand bieden in het beheer van de cyberrisico’s. We kijken daarom uit naar de samenwerking met het CCB”, zegt Maekelberghe.
Organisaties nemen de deadlines maar beter serieus. Het niet naleven van de NIS2-wetgeving kan resulteren in sancties. Maekelberghe: “We moeten toch vermijden dat NIS2 als een ‘strafexpeditie’ wordt gezien, maar wel als een opportuniteit om de beveiliging van organisaties op continue basis te verbeteren.”
We moeten vermijden dat NIS2 als een straf wordt gezien, maar als een opportuniteit om de beveiliging te verbeteren.
Kurt Maekelberghe, Head of Information Security Smals
Twee wegen naar conformiteit
Om aan de NIS2-wetgeving te voldoen, kunnen organisaties zich op twee frameworks baseren: het CyberFundamentals Framework (CyFun) en de ISO27001-standaard. De frameworks zijn niet zomaar met elkaar te vergelijken, stipt Maekelberghe aan. “CyFun biedt een pragmatische aanpak voor cybersecurity, terwijl ISO/IEC 27001 een internationale norm is die een formeel en certificeerbaar managementsysteem voor informatiebeveiliging voorschrijft.”
Als IT-partner van verschillende overheidsinstellingen, heeft Smals een belangrijke rol te vervullen in de weg naar conformiteit. Maekelberghe: “De instellingen die onze diensten gebruiken, zijn verplicht om hun dienstverleners te controleren op de toepassing van informatiebeveiliging. Dat supplychainbeheer creëert bijkomende nood aan rapportering en transparantie, zodat instellingen hun eigen conformiteit kunnen beoordelen”.
“Finaal moeten organisaties zelf maatregelen nemen op basis van een inschatting van de eigen risico’s. Een IT-partner kan niet instaan voor conformiteit, maar als leverancier voelen we wel die noodzaak aan transparantie bij onze klanten. De afhankelijkheid van leveranciers is een risico geworden, want bedreigingen in de supplychain zijn moeilijk te beheersen”, voegt hij toe.
Meer dan een lijstje
Sinds het ingaan van NIS2 is het cyberbeveiligingslandschap alweer grondig veranderd. De snelle adoptie van AI brengt nieuwe risico’s met zich mee. Dat ziet ook Maekelberghe. “Je moet kijken naar AI als productiemiddel met zijn kwetsbaarheden en als middel om cyberaanvallen uit te voeren. Het is al lang geen geheim meer dat AI wordt gebruikt om betere phishingmails te maken en sneller aanvallen op te zetten. Maar als de technologie niet doordacht wordt geïmplementeerd, vergroot je de aanvalsoppervlakte en dus jouw eigen kwetsbaarheid.”
Maekelberghe is er wel van overtuigd dat NIS2 als regelgeving de tand des tijds zal doorstaan, op voorwaarde dat organisaties het goed toepassen. “Wetgeving evolueert op een ander tempo dan technologie en dreigingslandschappen. Daarentegen zal een goed uitgevoerde risicoanalyse en een goed opgesteld risicobeheersplan zowel op regelmatige tijdstippen voor de bestaande verwerkingen en platformen, als op het moment dat je een nieuwe technologie in gebruik neemt, de organisatie helpen om de veiligheid correct in te regelen.”
“Als dit consequent gebeurt, dan werkt NIS2 goed. We mogen absoluut niet in een ‘lijstjescultuur’ vervallen waarbij een lijst van maatregelen eenmalig wordt afgevinkt. Want dan verlies je de risico’s uit het oog”, besluit Maekelberghe.
NIS2 mag geen lijstje worden dat eenmalig wordt afgevinkt.
Kurt Maekelberghe, Head of Information Security Smals
Deze redactionele bijdrage kwam tot stand in samenwerking met onze partner Smals.