CCB blikt tevreden terug op het eerste jaar van NIS2. Belgische bedrijven zijn op de goede weg met de implementatie van de wetgeving, al ligt er nog steeds veel werk op de plank.
17 oktober 2024 is de geschiedenisboeken ingegaan als de dag waarop de NIS2-wetgeving in voege trad. Exact één jaar later wil het CCB die eerste verjaardag niet onopgemerkt laten voorbijgegaan. “De implementatie verloopt redelijk vlot in België. Ongeveer 1.500 essentiële entiteiten en 2.500 belangrijke entiteiten hebben zich geregistreerd. Het merendeel van die organisaties heeft inmiddels ook een framework gekozen en uitgevoerd”, stelt een tevreden Johan Klykens, Director Cybersecurity Certification Authority bij CCB, vast tijdens een online webinar.
Toch is het werk nog maar pas begonnen. Tijdens het webinar maakt CCB een eerste balans op van NIS2 en introduceert het een nieuw CyFun-framework. Klykens: “We beginnen stilaan de eerste resultaten te zien. NIS2 zal cyberaanvallen niet laten verdwijnen, maar de impact ervan vermindert. Al is de meldingsplicht nog niet helemaal aanvaard. Wij zijn er om te helpen, niet om te straffen”.
Een beetje fun
België toonde zich van in het begin al een primus van de Europese klas als het op NIS2-implementatie aankomt. Ons land was zelfs één van de enige lidstaten die vorig jaar de deadline haalde. Centraal in de aanpak van CCB staat CyFun, languit CyberFundamentals: een framework met vereisten en tools voor organisaties die NIS2-plichtig zijn.
lees ook
Nieuwe dreigingen, zelfde kill chain: NIS2 beschermt bedrijven op de lange termijn.
CCB gaf het originele framework een opfrissing en introduceert tijdens het webinar CyFun 2025. Dirk De Paepe, Senior Certification Expert, neemt het woord over. “De nieuwe versie volgt de laatste ontwikkelingen in wetgeving en trends in cybersecurity. Ook is er meer focus op OT. Het doel is om wat we in echte aanvallen zien om te zetten naar concrete maatregelen en die zo eenvoudig mogelijk maken voor organisaties”.
CyFun onderscheidt vier niveaus van certificeringen: Small, Basic, Important en Essential. Het Basic-niveau omvat basismaatregelen voor alle organisaties, terwijl organisaties die door de NIS2-wetgeving als ‘belangrijk’ of ‘essentieel’ worden beschouwd, aan meer en hogere vereisten moeten voldoen. “Het systeem van proportionaliteit blijft behouden in de nieuwe versie. Maar op ieder niveau zijn er vereisten waar organisaties aan moeten voldoen”, zegt De Paepe.
Het werk van CCB wordt ook over de landsgrenzen opgemerkt. Ierland en Roemenië adopteerden CyFun in hun eigen nationale kader en ook andere lidstaten tonen interesse. Daarnaast geldt ook de internationale ISO27001-standaard voor informatiebeveiliging als een algemeen aanvaarde basis voor NIS2-compliance.
279 incidenten
Bedrijven die een incident meemaken, zijn volgens de NIS2-wet verplicht dat binnen de 24 uur te melden aan de bevoegde instanties. Na dertig dagen is een uitgebreid rapport vereist. “Dit is voor ons heel belangrijk omdat het helpt de oorzaak van het incident te achterhalen”, zegt Klykens.
Indien nodig, stuurt CCB een inspectieteam ter plaatse voor een post-incidentanalyse. Dit is de bevoegdheid van de National Cybersecurity Certification Authority (NCCA). “Sinds de invoer van NIS2 hebben we 279 incidentmeldingen binnengekregen”, licht inspecteur Oya Tanil toe.
Niet ieder incident vraagt dezelfde ernst. Het NIS2-kader maakt onderscheid tussen ‘significante’ en niet-significante incidenten. Een incident wordt als significant gezien als het aan minstens één van deze drie voorwaarden voldoet:
- Het incident veroorzaakt een operationele disruptie op het netwerk van de organisatie.
- Het incident veroorzaakt financiële schade voor de organisatie.
- Het incident heeft directe impact op externe natuurlijke of juridische personen.
Bij zogenoemde significante incidenten is een verdere inspectie mogelijk en kan je dus Tanil en haar collega’s over de vloer krijgen. “Bij twijfel vragen we toch altijd om te rapporteren. We kunnen mee de ernst van een incident helpen bepalen. De meeste significante incidenten zijn tot nu toe overigens niet cyber-gerelateerd”.
Blijkt uit verder onderzoek dat het incident een gevolg is van het niet naleven van de door NIS2 opgelegde vereisten, zijn sancties mogelijk. In dat geval kunnen de bestuursleden zelfs persoonlijk aansprakelijk worden gesteld. “We hebben nog geen sanctieprocedures moeten opstarten. Ik hoop ook dat dat nooit nodig zal zijn”, stelt Klykens gerust. “Onze inspectieteams willen in de eerste plaats helpen om te kijken hoe incidenten vermeden kunnen worden. Vaak krijgen we zelfs een bedankje achteraf”.
NIS2 is niet bedoeld om organisaties te straffen.
Johan Klykens, Director Cybersecurity Certification Authority CCB
En de rest van Europa?
Eén jaar na het ingaan van de Europese deadline blijkt NIS2-implementatie nog steeds moeizaam in Europa. Slechts zes van de 27 lidstaten hebben hun huiswerk al volledig klaar. Dat zijn naast de Benelux-landen nog Denemarken, Zweden en Finland. Bij veel landen is de omzetting van NIS2 naar nationale wetgeving nog een werk ‘in uitvoering’, of zit men zelfs nog maar in de planningsfase.
De eerste balans van CCB is dus overwegend positief. “Na het eerste jaar mogen we onszelf een bescheiden schouderklopje geven. Dit stemt me optimistisch voor de toekomst”, besluit Klykens. Al is cybersecurity een werk dat nooit helemaal klaar is.
ITdaily organiseerde recent een rondetafel met vijf experten uit de Belgische IT-industrie over NIS2. Bekijk hier het overzicht.