NIS2: meer security voor de EU en voor bedrijven

Met de NIS2-richtlijn (Network and Information Security) wil de EU haar lidstaten verplichten om hun maturiteit op het gebied van cyberveiligheid te verhogen. Ze legt daarvoor organisaties in kritieke sectoren verschillende eisen rond IT-beveiliging op. Tegen eind 2024 moet NIS2, een uitbreiding van de bestaande NIS-richtlijn, in de Belgische wetgeving opgenomen worden.

Maar zelfs als uw bedrijf niet in een kritieke sector actief is, zal u met NIS2 te maken krijgen, bijvoorbeeld via klanten die wel onder de richtlijn vallen. Bovendien zijn de opgelegde maatregelen voornamelijk algemeen aanvaarde beveiligingsprincipes die elke organisatie eigenlijk al zou moeten hanteren.

We spraken over NIS2 met Jan De Bondt, Director Audit & Business Consultancy bij Orange Cyberdefense Belgium. Zijn boodschap? Wacht niet te lang met de implementatie van de nieuwe richtlijn, maar doe het vooral om uw eigen organisatie weerbaarder te maken tegen cyberdreigingen, niet omdat het moet.

De vorige NIS-richtlijn dateert nog maar van 2016. Waarom lanceert de EU nu al de opvolger, NIS2?

NIS was een stap in de goede richting, maar had ook een aantal belangrijke tekortkomingen. Ziekenhuizen en bedrijven die aan IT-servicemanagement doen, zoals Orange, ontsprongen de dans: zij werden niet als aanbieders van essentiële diensten beschouwd. De beveiligingsvereisten waren ook niet duidelijk en streng genoeg. Gelukkig heeft men van in het begin rekening gehouden met het evolutieve karakter van de IT-wereld, wat in de regelgeving onder meer vertaald werd door het organiseren van marktbevragingen. Daaruit bleek dat bedrijven nog altijd onvoldoende inspanningen leveren op het vlak van cybersecurity, waarop de Europese Commissie de NIS2-richtlijn ontworpen en ingevoerd heeft. Die heeft een breder toepassingsgebied en stelt duidelijke en strengere eisen aan organisaties.

Verandert er veel voor bedrijven?

Dat hangt in hoge mate af van de maturiteit van het bedrijf. In de financiële sector bijvoorbeeld worden er al lang grote inspanningen geleverd op het vlak van cybersecurity, zowel in bedrijfsprocessen als bij technologische oplossingen. Financiële instellingen moeten ook al aan veel andere regelgeving voldoen, waardoor de NIS2-richtlijn voor hen niet zo veel veranderingen met zich meebrengt. In sectoren waar er nog geen of weinig regelgeving is op het vlak van IT-beveiliging kan de nieuwe richtlijn potentieel wel voor grote veranderingen zorgen.

Op welke vlakken is een inhaalbeweging het meest nodig?

Het gaat vooral om de manier waarop organisaties omgaan met beveiligingsincidenten. Het uiteindelijke doel van NIS2 is om Europa beter te beschermen tegen cyberbedreigingen. Daarom wordt het vanaf nu verplicht om beveiligingsincidenten te melden aan de bevoegde nationale autoriteiten. In België is dat het Centrum voor Cybersecurity België (CCB). De lidstaten delen hun kennis over die meldingen met elkaar om sneller op trends te kunnen inspelen. Van organisaties wordt bovendien verwacht dat ze een doordacht incident management op poten zetten.

Begrijpen we het goed dat dat niet zozeer een technische kwestie is, maar eerder een businessvraagstuk?

Dat klopt, en hetzelfde geldt eigenlijk voor meerdere eisen binnen de NIS2. De richtlijn legt ook sterk de nadruk op een risicogebaseerde aanpak, wat voor veel bedrijven nieuw is. Risicoanalyse vormt de kern van een Information Security Management System (ISMS). Organisaties moeten zich de vraag stellen hoe ze businesscontinuïteit kunnen garanderen wanneer hun IT-systemen uitvallen. Kiezen ze dan voor een ontdubbeling van het systeem of moeten ze eerder investeren in een back-upsysteem? Die keuze hangt nauw samen de bestaande bedrijfsprocessen. Risicogebaseerd vertrekt echt vanuit de business zelf.

Tegen 17 oktober 2024 moet de NIS2-richtlijn naar Belgische wetgeving vertaald worden. Moeten bedrijven nu ook al in actie schieten?

Ja en nee. De deadline van 17 oktober 2024 slaat op het wetgevend kader, niet op de uitvoering ervan. Toch zou ik bedrijven en organisaties willen adviseren om niet te lang te wachten. Uit ervaring blijkt namelijk dat het veranderen van IT- en andere businessprocessen al snel twee jaar in beslag neemt.

Hoewel de Belgische wet nog specifieke aanvullingen kan toevoegen, zijn de algemene principes van NIS2 intussen al bekend. Bedrijven kunnen dus perfect nu al starten met het aanpassen van hun bestaande processen. Uiteindelijk zijn de verplichtingen niets meer dan het toepassen van algemeen aanvaarde beveiligingsprincipes. Voor het invoeren daarvan kunnen bedrijven bijvoorbeeld aan de slag gaan met het Cyberfundamentals Framework van het CCB. Dat is gebaseerd op vier algemeen aanvaarde kaders rond IT-security: NIST CSF, ISO 27001/ISO 27002, CIS Controls en IEC 62443. Ook NIST of ISO27001:2022 zijn hier valabele opties. Bedrijven die twijfelen over welk framework ze best kiezen, kunnen bij Orange Cyberdefense aankloppen voor meer ondersteuning.

Wat kunnen bedrijven nog meer doen behalve inzetten op incident management en kiezen voor een risicogebaseerde aanpak?

Zoals bij veel zaken gaat het er bij IT-veiligheid om een evenwicht tussen mensen, processen en technologie te vinden. Het technologieluik is bij de meeste bedrijven al enigszins in orde. Cybercriminelen probeerden in het verleden namelijk eerst via het netwerk binnen te dringen. Door in te zetten op technische oplossingen, zoals firewalls, konden bedrijven die aanvallen tegenhouden. Intussen hebben cybercriminelen hun werkwijze aangepast en proberen ze via phishing werknemers in de val te lokken. Daarom schenkt NIS2 nu veel aandacht aan security awareness: bedrijven moeten investeren in het opleiden van medewerkers, inclusief de directie.

Bedrijven moeten resoluut kiezen voor een gelaagde beveiliging: een firewall om inbraken tegen te gaan, monitoring om te weten wanneer ze moeten ingrijpen, verplichte tweefactor-authenticatie om misbruik van gebruikersaccounts tegen te gaan en opleidingen om van beveiliging een gedeelde verantwoordelijkheid te maken.

Wat gebeurt er met bedrijven die niet aan de vereisten van NIS2 voldoen?

Bij NIS was er al een bestuurdersaansprakelijkheid. Dat wil zeggen dat bestuurders die nalieten te investeren in de beveiliging van hun bedrijf en dan alsnog met een incident te maken krijgen, in principe tot een gevangenisstraf kunnen veroordeeld worden. NIS2 voegt daaraan toe dat een bestuurder bij grove nalatigheid tijdelijk de uitoefening van leidinggevende functies kan worden ontzegd of dat een bedrijf kan verplicht worden om zijn activiteiten te staken. Dat is natuurlijk een smet op het blazoen, waardoor verwacht wordt dat bestuurders nu wel hun verantwoordelijkheid zullen nemen, als ze dat intussen al niet gedaan hebben.

Uiteindelijk is de bestuurdersaansprakelijkheid een drukkingsmiddel waarmee de Europese Commissie de budgetten voor beveiliging probeert te verhogen en een cultuur van security-by-design wil creëren, net zoals de GDPR dat voor privacy-by-design heeft gedaan. De NIS2-richtlijn zet aan om de cybersecurity-inspanningen te structureren op basis van een risicogebaseerd beslissingsbeleid. Dat geeft bestuurders de nodige fundamenten om voldoende budget vrij te maken.

Is NIS2 ook relevant voor bedrijven die niet actief zijn in de sectoren waarvoor de richtlijn van toepassing is?

Ja, toch wel. IT-security speelt steeds meer een rol in de relatie tussen klant en leverancier. Bedrijven die diensten leveren, krijgen van hun klanten vaak de vraag hoe ze met beveiliging omgaan. In bepaalde gevallen moet een audit aantonen dat het bedrijf het nodige doet. Wie in de toekomst wil samenwerken met een organisatie die onder de NIS2-richtlijn valt, zal dus een beveiliging moeten hebben die aan quasi dezelfde voorwaarden voldoet. Maar uiteindelijk is mijn advies: werk aan NIS2-compliance, niet vanwege de verplichting of omdat klanten het verwachten, maar omdat het dé weg is naar een optimale IT-beveiliging.