Europa verplicht met de NIS2-wet bedrijven uit verschillende sectoren om beveiliging de hoogste prioriteit te geven. Val je onder de wet, dan is er geen ontkomen aan. Maar weten bedrijven wel wat ze moeten doen, en hoe?
Het is zover: NIS2 is gearriveerd. Nadat het Europese Parlement eind 2022 een akkoord bereikte over de richtlijnen, kregen lidstaten tot 17 oktober 2024 om die in de nationale wetgeving om te zetten. De deadline is verstreken, waarmee de bal in het kamp van bedrijven is gelegd. “Veel bedrijven zijn er niet klaar voor”, zegt Siska Hallemeesch, beveiligingsexperte bij Nviso Security en Silver Member van Isaca.
Plethora aan tools
Hallemeesch erkent de nood aan de wetgeving. “Met NIS2 is op Europees vlak beslist om de beveiligingsmaturiteit van organisaties te verhogen, en dan met name middelgrote tot grote organisaties. Dit moet hen beter voorbereiden op geopolitieke risico’s en cyberaanvallen, en de algemene graad van beveiliging verhogen. De eerste NIS-wet was beperkt tot kritieke infrastructuur zoals energie. NIS2 trekt dit open naar meerdere sectoren”.
“Toen ik vijf jaar geleden sprak over geopolitieke risico’s, keek men mij aan alsof ik Chinees sprak. Beveiliging werd bekeken vanuit een technisch perspectief, maar niet vanuit business of geopolitiek. Veel bedrijven zitten hierdoor met een plethora aan IT-tools die geen oplossing biedt”, aldus Hallemeesch.
“Je moet als bedrijf bekijken wat je beveiligingsrisico’s zijn en hoe je van daaruit een end-to-end-oplossing gaat opzetten. Dit proces is afhankelijk van de bedrijfscontext. Voor een ziekenhuis zal dit helemaal anders zijn dan voor een bedrijf uit de maakindustrie”, gaat ze verder.
Nieuwe rol voor CISO
Volgens Hallemeesch zal NIS2 voor een andere invulling van de rol van de CISO zorgen. “Nu zijn er nog veel technische mensen in de rol. Maar een CISO moet ook de business leren begrijpen en spreken met andere afdelingen binnen het bedrijf. Dit ligt toch nog veel moeilijker, merk ik.”
“Ik zeg niet dat technische kennis over de tools niet meer belangrijk is, maar CISO zal niet meer een louter technische rol zijn. De CISO’s van morgen zijn businessmensen die ook die technische kennis hebben, maar vooral begrijpen hoe het beveiligingsbeheer en de beschikbare tools in de bedrijfscontext te implementeren.”
Beveiliging wordt te veel vanuit een technisch perspectief bekeken. De CISO moet ook de business leren begrijpen.
Siska Hallemeesch, CISO-as-a-service Nviso
Copy paste
Sinds 18 oktober zit de NIS2-wet verankerd in de Belgische wetgeving. Daarmee heeft België op tijd zijn huiswerk klaar en dat is eerder uitzondering dan de regel. België en Kroatië zijn de enige lidstaten die de NIS2-deadline gehaald hebben. Tijdens een rondetafelgesprek georganiseerd door ITdaily zwaaien experten met lof voor het CCB, dat de kar trok.
lees ook
België pionier in NIS2-regelgeving: Hoe komt dat?
Hallemeesch plaatst hier een kanttekening bij. “Dat België op tijd is met de wetgeving, komt omdat het pakket grotendeels rechtstreeks vanuit de tekst van de Europese Unie is overgenomen. Ik vraag me af of dat met veel overleg gebeurd is. De wetten worden eerst overgenomen om dan pas de impact op ondernemingen af te wachten. Het is goed om een Europese wetgeving te hebben die voor iedereen gelijk is, maar ook dit is in de realiteit niet het geval.”
Van wet naar praktijk
Bedrijven zullen nog wel even tijd krijgen om aan de richtlijnen te voldoen, maar volgens Hallemeesch zal dat geen evidentie worden. “Hoe NIS2 in de praktijk zal uitrollen, valt af te wachten. Er zijn nog veel vragen bij bedrijven. Nu brengt NIS2 verplichtingen om over incidenten te rapporteren met zich mee, maar tegen 2027 zullen sommige bedrijven een certificaat moeten behalen.”
Om bedrijven op weg te helpen, werkte CCB een framework uit met drie niveaus. Hallemeesch: “Dit framework is zeer descriptief. Bedrijven moeten het uiteindelijk wel in hun specifieke context toepassen. Ik stel me ook vragen bij de proportionaliteit. Voor bedrijven komt er heel veel administratie bij kijken. Nieuwe bedrijven zullen deze zaken eenvoudiger kunnen meenemen, maar voor grotere organisaties is het veel moeilijker om het schip te draaien.”
lees ook
Als een leeuw in een kooi: hoe kmo’s beïnvloed worden door NIS2
Een tekort aan mensen en middelen, waar menig bedrijf mee worstelt, kan voor problemen zorgen. Hallemeesch raadt bedrijven in dit geval aan om tijdig hulp in te schakelen. “NIS2 komt met een prijskaartje. Niet ieder bedrijf heeft een fulltime CISO nodig. Heb je zelf de mensen niet, spreek dan met externe experten die je kunnen helpen om je huidige maturiteit te bepalen en een plan uitwerken om die te verhogen. Het is belangrijk dat ook het executive management hierbij betrokken wordt.”
“Zonder NIS2 zouden sommige bedrijven misschien niets hebben gedaan. Dat zou ook geen goede zaak zijn geweest”, geeft Hallemeesch toe. “Bij veel bedrijven is het bewustzijn nog niet doorgedrongen dat ze ook slachtoffer kunnen zijn van een cyberincident. Ze moeten het bijna hebben meegemaakt om te beseffen dat zoiets elke dag gebeurt. In dat kader is het ook belangrijk dat bedrijven met elkaar spreken en van elkaar leren. Sharing is caring in beveiliging”.
Veel bedrijven zijn nog niet klaar. NIS2 komt met een prijskaartje.
Siska Hallemeesch, CISO-as-a-service Nviso
Checkbox
Halleemeesch zou graag een meer gecoördineerde aanpak vanuit Europa zien. NIS2 zit niet een vacuüm. De voorbije jaren duwde Europa de ene na de andere nieuwe wet door. Al die voorgestelde regels hebben het doel om de beveiliging van organisaties te verhogen, maar de wetgevingen lopen door elkaar, wat verwarring in de hand werkt.
“Waarom kunnen we niet tot één regulering komen die voor iedereen geldt? Er bestaat geen twijfel dat de maturiteit van organisaties omhoog moet, maar overregulering is ook niet goed. De wetten worden voorgesteld door mensen die geen praktische ervaring hebben met wat die voor bedrijven betekenen. Ik ben ook bezorgd dat auditoren die bij bedrijven zullen langsgaan vooral een ‘checkbox’ zullen afvinken”, zegt Hallemeesch.
Wegen naar Rome
IT evolueert snel. Of NIS2 sterk genoeg is om de tand des tijds te doorstaan, zal de komende jaren blijken. Hebben we binnenkort al een NIS3-wet nodig? Hallemeesch geeft alvast haar wens door. “Een volgende versie zou bedrijven meer flexibiliteit moeten bieden over hoe ze de doelstellingen kunnen bereiken. Meerdere wegen leiden naar Rome, zegt men altijd.”
Maar het liefst van al hoopt Hallemeesch dat het niet tot NIS3 hoeft te komen. “Hebben we echt nog meer regulering nodig? Ik hoop oprecht dat Europa zich deze vraag zal stellen. Persoonlijk ben ik meer voorstander om bedrijven binnen het huidige kader meer ruimte te geven om de proportionaliteit in verhouding tot hun cyberrisco’s zelf in te vullen. Als dan toch nog meer wetgeving zou nodig blijken, dan hoop ik dat er meer algemenere richtlijnen komen in plaats van nog meer verschillende wetgevingen.”
Is er nog meer regulering nodig? Kunnen we bedrijven niet meer flexibiliteit geven om binnen het huidige kader de doelstellingen te bereiken?”
Siska Hallemeesch, CISO-as-a-service Nviso
ITdaily organiseerde recent een rondetafel over NIS2 met experten uit de Belgische beveiligingsindustrie. Bezoek onze themapagina om alle artikelen te bekijken.