Compliant zijn met NIS2 is een traject zonder einde

Vanaf 18 oktober is het zover, dan geldt de nieuwe NIS2-wetgeving met cybersecurity-vereisten in België. Een richtlijn die op meer bedrijven van toepassing is dan de eerste NIS-regulering, en die ook strengere accenten legt. De meeste bedrijven denken intussen klaar te zijn voor NIS2, maar ik merk dat veel IT-leiders toch nog worstelen met enkele belangrijke struikelblokken.

Compliance staat momenteel overal bovenaan de bedrijfsagenda. Dat blijkt ook uit een studie die Beltug onlangs publiceerde. Gevraagd naar de belangrijkste uitdagingen van IT-leiders, stonden compliance en wetgeving liefst drie keer in de top tien. De invoering van NIS2 komt natuurlijk niet onverwacht. Organisaties weten al geruime tijd dat ze de deadline moeten halen. Doorgaans hebben ze dan ook de fundamenten gelegd die de implementatie mogelijk maken.

Aanvankelijk lag de focus op quick wins en de belangrijkste onderdelen van de wetgeving. In een volgende stap moeten bedrijven hun aanpak verbeteren en in overeenstemming brengen met alle vereisten die NIS2 voorschrijft. Die vereisten zijn onder meer het uitbouwen van een recovery plan dat de bedrijfscontinuïteit verzekert, het opstellen van een kader voor risicobeoordeling, het voorzien van incident & response, het integreren van back-ups voor data, enzovoort.

Geen uniforme aanpak van cybersecurity

Wanneer ik met IT-leiders praat, dan zie ik enkele uitdagingen regelmatig terugkeren. Voor je een goede securitystrategie kunt uitwerken, is het belangrijk om te weten wat de behoeften van de business zijn. Organisaties hebben het behoorlijk moeilijk met het uitvoeren van deze oefening – de Business Impact Analyse (BIA). Het ontbreekt aan KPI’s en meetbare doelstellingen, wat het lastig maakt om een roadmap naar compliance op te stellen. NIS2 schrijft trouwens voor dat we alles grondig moeten testen.

Organisaties moeten de verschillende stakeholders samenbrengen: van business tot security en infrastructuur. Samen kunnen ze een plan van aanpak uitwerken dat zich toespitst op beveiliging, resilience en businesscontinuïteit. Compliance met NIS2 vraagt om een holistische aanpak van cybersecurity. Maar in de praktijk werken organisaties nog altijd in silo’s. Vooral in grote bedrijven is dit een uitdaging. Zonder de inbreng van verschillende teams is het onmogelijk om een solide oplossing uit te bouwen.

Gebrek aan steun uit het management

Het helpt natuurlijk niet dat de cybersecuritystrategie van een organisatie nog steeds te weinig door het management wordt aangestuurd. Zeker wanneer het over budgetten gaat. Nochtans is NIS2 in het leven geroepen om ook het C-level in het securityverhaal te betrekken. Na een aanval zullen bedrijven die niet voldoen aan de vereisten van NIS2, immers zelf aansprakelijk zijn. In de meeste gevallen zal de CISO de verantwoordelijkheid voor compliance dragen, maar in principe kan het nieuwe wetgevende kader tot hoge boetes en zelfs celstraffen leiden.

Het blijft dus essentieel om de directie van het bedrijf op te leiden en op de hoogte te brengen van de risico’s, zodat ze de budgetten en steun bieden voor een uniforme securitystrategie.

Intussen ontbreekt het in veel bedrijven natuurlijk ook aan mensen met de juiste skills. Ook voor de introductie van NIS2 was de schaarste op de arbeidsmarkt al een groot probleem voor de IT-sector. Vaak kloppen organisaties daarom aan bij derde partijen en vragen ze hulp bij het uitbouwen van best practices.

Het beveiligen van de supply chain

Tot slot hecht NIS2 ook veel belang aan de toeleveringsketen, een steeds belangrijk doelwit van cybercriminelen. Onder impuls van de nieuwe richtlijn zullen bedrijven verplicht zijn om nieuwe contracten op te stellen met een sterke focus op security. Ze zullen leveranciers beter moeten controleren en evalueren met betrekking tot cyberrisico’s. Dat kan door middel van contractuele verplichtingen zoals regelmatige penetratietests, zodat ze de zwakke punten in de supply chain kunnen blootleggen en oplossen.

Conclusie? De implementatie van NIS2 is een belangrijk moment voor de bedrijfswereld, maar we mogen niet vergeten dat compliance met het nieuwe kader een nooit eindigend traject is. Iedere organisatie moet nagaan waar het zwaartepunt van NIS2 voor hun specifieke situatie ligt. Vaak zal dat recovery zijn – het vermogen om na een aanval de business snel weer te hervatten. Want hoe sterk onze cybersecuritymaatregelen ook zijn, een cyberaanval kan iedereen treffen. En dan kan hervatten na een week of pas na een maand een groot verschil maken. Hopelijk zal NIS2 ons wakker schudden en ervoor zorgen we cybersecurity eindelijk ernstig nemen.