Support 
Nieuwe NIS2-wetgeving: alles wat je moet weten volgens de experts
26/08/2024 - 9 min readOp 26 april werd de NIS2-wet goedgekeurd. Deze stap komt voort uit Europese richtlijnen en heeft aanzienlijke gevolgen voor bedrijven uit verschillende sectoren. Vanaf 18 oktober zal de wet effectief in werking treden. We spraken met Raf Arts, Compliance Manager en Angelo Rysbrack, Security Strategist over de impact van deze wet.
Het belang van NIS2
Raf, jij bent Compliance manager bij NTX, kan jij vertellen wat deze rol inhoudt?
Raf: In de eerste plaats zet ik het Information Security Management System of ISMS op. Dat is het geheel aan procedures, instructies en documenten dat bedoeld is om informatiebeveiliging in een bedrijf te waarborgen. Na het opzetten van dit systeem, zorg ik voor het beheer ervan. Dit heeft twee doelen: zo willen we bij NTX graag het ISO27001-certificaat behalen én willen we uiteraard NIS2-compliant worden om onze veiligheid en die van onze klanten te verzekeren.
Het ISO27001-certificaat: is dat een norm waaraan bedrijven moeten voldoen?
Raf: Het is geen verplichting, maar je kan het certificaat behalen om aan te tonen dat je voldoet aan de informatiebeveiligingsstandaarden. Met dit ‘bewijs’ kan je bij klanten aantonen dat je een betrouwbare partner bent. Want je kan als bedrijf wel beweren dat je vanalles doet, maar dankzij het certificaat kan je het ook effectief aantonen. Dit certificaat is trouwens niet verplicht, maar als je het hebt bemachtigd, ben je al goed op weg om NIS2- compliant te worden.
We spreken veel over NIS2. Betekent dat ook dat er een NIS1 is? Wat zijn de verschillen?
Angelo: NIS was vooral van toepassing op de grote giganten, zoals energiemaatschappijen. Met NIS2 wordt de wetgeving uitgebreid naar kleinere bedrijven en meerdere sectoren.
Waarom werd NIS2 in het leven geroepen?
Angelo: Ondanks de vele inspanningen op Europees en federaal niveau merken we dat er onvoldoende bedrijven bezig zijn met cybersecurity en informatiebeveiliging. Om te voorkomen dat we in de toekomst nog meer grip verliezen, is NIS2 er gekomen. Zo is er meer controle vanuit de bedrijven zelf, maar ook vanuit de landen naar de bedrijven toe, door bijvoorbeeld de meldplicht.
Wat is de impact die de wetgeving zal hebben op organisaties?
Raf: Iedereen weet dat informatiebeveiliging en cybersecurity belangrijk zijn, maar nu het geformaliseerd wordt, beseft iedereen dat het cruciaal is. De deadline maakt het echt en daardoor zijn er veel bedrijven wakker geschoten.
Angelo: Je komt verschillende types van organisaties tegen. Sommige bedrijven hebben nog niets gedaan, anderen hebben op de planning staan dat ze een certificaat willen behalen, maar hebben hiervoor niets gedocumenteerd … Er zit momenteel weinig structuur in.
Raf: Inderdaad. Sommige bedrijven hebben het helaas nog niet door en denken dat het over één of twee documentjes gaat, maar niets is minder waar. Aan de andere kant zijn er bedrijven die alles hebben gedocumenteerd, maar ze creëren geen awareness. En dat is eens zo belangrijk. Je kan 101 procedures uitschrijven, maar als niemand weet wat ze moeten doen in het geval van een hack of lek, heb je er niet veel aan. Die awareness is belangrijk bij je medewerkers, maar even goed bij je directie en andere stakeholders.
Je kan 101 procedures hebben, maar als niemand weet wat te doen in het geval van een hack of lek, heb je er niet veel aan.
Angelo: Je moet trouwens officieel kunnen aantonen dat iedereen in het bedrijf op de hoogte is. Uiteraard moet niet iedereen de wetgeving kennen. Maar als je op een foute link klikt, moet je wel weten dat je dit meteen dient te melden bij je interne IT’er, IT-dienst of IT-partner.
Kan je als bedrijf zelf alles alleen in orde brengen voor deze nieuwe wetgeving?
Raf: Je kan altijd alles zelf, maar dat is zeer afhankelijk van je kennis, middelen … Persoonlijk vind ik het niet realistisch. Ik ben van mening dat er in elke onderneming iemand de verantwoordelijkheid moet dragen van Compliance Manager. Je kan dan enkele taken op jou nemen, maar je zal sowieso zaken moeten uitbesteden. Al heb je voldoende kennis en begrip, er is vooral veel tijd voor nodig. Als je aanklopt bij een IT-bedrijf als partner, kunnen zij je begeleiden met de nodige technische kennis, maar ook met de juiste tools om alle informatie te verzamelen en beschikbaar te stellen.
Angelo: Daar sluit ik me volledig bij aan. IT uitbesteden is genormaliseerd, maar informatiebeveiliging nog niet. Nochtans zijn er zoveel (inter)nationale wetgevingen, normen, frameworks … Als je van alles op de hoogte moet blijven, is dat méér dan een fulltime job.
Nochtans zien we in 90% van de gevallen dat iemand binnen het bedrijf het er ‘even bij neemt’. Hij of zij koopt dan een boekje of volgt een cursus en denkt het snel in orde te maken. Maar alles samenbrengen én actueel blijven, vormt toch wel een grote uitdaging.
In 90% van de gevallen zien we dat iemand binnen het bedrijf een boekje koopt of een cursus volgt en het ‘even in orde wil maken’.
Als je je dus nog wil bezighouden met je eigen jobinhoud en niet enkel met certificaten en wetgevingen, neem je best een partner onder de arm die je op de hoogte kan houden.
Plan van aanpak
Raf, jij doet er alles voor om NTX compliant te maken en te houden. Angelo, jij bent Security Strategist voor onze klanten. Wat houdt dat in?
Angelo: Ik fungeer als een soort van security officer. Ik help klanten tijdens het project met de implementatie van ons eigen framework, een soort van lightweight ISMS. Op die manier brengen we alle techniek, processen en awareness in kaart. Dat wordt in een cyclus gegoten om dit jaar in jaar uit te verbeteren op basis van risico’s. Ik lever daarbij het gepaste advies over wat relevant is voor het desbetreffende bedrijf.
NTX heeft een heel plan van aanpak. Wanneer komt de Security Strategist daarbij in beeld?
Angelo: NTX start met een inspiratieworkshop bij de klant om een overzicht te geven over alle vereisten omtrent een moderne cybersecuritystrategie. Er wordt afgestemd wat er allemaal aanwezig is qua maatregelen en wat er nog moet gebeuren. Hieruit volgt een tactisch plan. Vervolgens komt er een technische uitvoering en tot slot wordt de implementatie uitgerold. Doorheen heel dit project loopt de ‘Schrijf uit’-fase. Hierin begeleid ik als Security Strategist de klant om te documenteren welke maatregelen er nu net genomen zijn en welke techniek er werd geïmplementeerd. Samen bedenken en documenteren we hierrond processen om de geplaatste techniek ten volle te benutten.
Hiervoor ontwierp je een eigen framework. Kan je daar meer over vertellen?
Angelo: Je kan het framework vergelijken met een lightweight ISO. ISO zelf vereist zeer veel inspanningen van een bedrijf, de doorlooptijd is hoog en de kosten lopen al snel op. Dat leek ons niet geschikt voor elk bedrijf. Daarom hebben we vanuit ISO en andere denkkaders de belangrijkste punten gedestilleerd en daarmee een nieuw kader geschept. Toen de NIS2-wet bekend werd, sloot die ook nog eens naadloos aan op ons denkkader.
We bedachten zelf een framework, met de belangrijkste maatregelen, dat naadloos aansluit op de NIS2-wetgeving.
Wat wij daarbij enorm belangrijk vinden, is de betrokkenheid van de klant van in het begin. We geloven in een implementatie waarbij we hen er al doende mee leren werken. Daarom gaan we in het begin vooral ter plaatse bij de klant. Dan kunnen we voelen wat er leeft binnen het bedrijf. Je ontdekt onder andere waar het bedrijf staat op het gebied van informatiebeveiliging.
De ‘Schrijf uit’-fase starten we met heel wat templates. Zo heb je de risicoanalyse met een 60-tal risico’s die wij doorheen de jaren veel hebben zien voorkomen, aangevuld met een paar bedrijfsspecifieke risico’s van de klant. Daarnaast heb je het informatiebeveiligingsbeleid waarin de meeste zaken staan uitgeschreven, aangevuld met details van de klant. Gaandeweg maken we de templates klanteigen door hen erin mee te nemen en alles op een behapbare manier aan te vullen. Nadat heel deze ‘Schrijf uit’-fase in het plan is afgerond en we alle documenten hebben uitgewerkt, blijven we de klant nog een jaar begeleiden als virtuele security officer.
Belangrijk om hierbij te vermelden, is dat we uiteraard de klant begeleiden in alles, maar wij gaan het niet allemaal voor hen uitschrijven. Ze moeten het nog steeds zelf doen en actief betrokken zijn. We hopen zo een cultuur te creëren waarbij informatiebeveiliging niet begint en eindigt in de directiekamer, maar waarbij er een verhaal ontstaat van actief engagement van iedereen binnen het bedrijf.
We begeleiden de klant, maar wij gaan het niet voor hen uitschrijven. Zo creëren we een cultuur van actief engagement van iedereen binnen het bedrijf.
Toekomst
18 oktober is een datum die we veel tegenkomen. Wat gebeurt er exact die dag?
Angelo: Op 18 oktober gaat de wetgeving in. Dat betekent dat je je vanaf dan moet aanmelden als NIS2-plichtig bedrijf. De effectieve deadline om alles afgerond te hebben, is afhankelijk van de grootte, de sector waarin je je bevindt en of je volgens de overheid al dan niet een essentieel bedrijf bent.
Raf: Maar je kan het echt niet maken om pas enkele weken voor de deadline te starten. Je moet je op tijd voorbereiden, anders komt het niet goed. Daarbij komt nog dat het na het opzetten van je ISMS niet gedaan is. Je moet dit actief blijven beheren en onderhouden.
Angelo: Commitment is hierbij een van de belangrijkste zaken, zeker vanuit het management. Als je bijvoorbeeld een ISO-certificaat wil behalen, komt er een auditeur langs en die moet dat engagement aanvoelen. Anders kan je het certificaat wel vergeten.
Er werd ook gesproken over het uitleveren van boetes. Worden die pas aan het ‘einde van de meet’ uitgedeeld?
Raf: Nee hoor, als je echt nalatig bent en je doet niets, kan je zeker al boetes krijgen.
Angelo: Ja, of in het geval je een incident hebt voor de deadline, wordt er bekeken of je al bezig was met de procedures rond NIS2. Als blijkt dat je nalatig bent geweest, zal er zeker opgetreden worden. In België gebeurt dat door het Centrum voor Cybersecurity (CCB). Maar gelukkig wijzen ze niet enkel met de vinger. De instantie heeft ook een gespecialiseerd incident response team dat je effectief helpt wanneer er zich een incident voordoet.
Raf: En hun website is piekfijn in orde, zeker een aanrader om eens te bekijken. Er staan veel tips en tools op in verstaanbare taal.
Eenmaal je compliant bent: hoe zorg je er dan voor dat je dat blijft?
Angelo: Elk jaar blijven verbeteren. En daarbij is de risicoanalyse het begin van alles. Zoals daarstraks aangehaald, bestaat deze uit de meest voorkomende risico’s, aangevuld met bedrijfsspecifieke gevaren. Jaarlijks werk je wel wat risico’s weg, maar er komen ook nieuwe bij. Door dit te blijven updaten, jaar na jaar, blijf je alert en krijg je handvaten om alles te kunnen blijven optimaliseren. Daarnaast moet je uiteraard op de hoogte blijven van de wetgeving en moet je techniek hiermee in overeenstemming zijn. Deze cyclus van risicoanalyse naar strategische visie en operationele planning moet na een tijdje echt ingebakken zitten. De goede balans hierin vinden, is de boodschap.
Raf: Intern audits uitvoeren en de situatie evalueren, is zeer belangrijk. Daarbij is het ondenkbaar dat je na zo’n audit geen nieuw risico ontdekt. En bij elk nieuw risico horen nieuwe maatregelen die je moet nemen. En zo blijf je continu bezig met het verbeteren van je cybersecurity.
