De Europese richtlijn NIS2 mikt op een weerbaarder Europa. De eerste cruciale datum hiervoor loert stilaan om de hoek.
Afhankelijk van de sector waarin ze werken, zullen bedrijven binnenkort grote stappen moeten zetten voor hun cybersecuritybeleid én de bijhorende implementatie van technische controles. De Europese richtlijn NIS2 (Network & Information Security) komt daarvoor met een lijvig document. Alleen: bedrijven vinden daar geen praktische antwoorden in terug. ‘De weg naar maatregelen is niet duidelijk omschreven’, zegt Christophe Hohl, technisch adviseur bij dienstverlener Cyber Security Management.
Net daarom wordt 17 oktober 2024 zo’n cruciale datum. Tegen dan moet ons land, samen met alle andere Europese lidstaten, de NIS2-richtlijn vertalen in nationale wetgeving. ‘De stemming in de Kamer zal nog deze legislatuur plaatsvinden’, aldus Hohl. Tot dan is het grotendeels koffiedik kijken wat de concrete implementatie zal inhouden voor bedrijven. Maar het wordt ondertussen wel duidelijk wat de impact van NIS2 zal zijn.
Grotere radius
De nieuwe richtlijn is een belangrijke actualisering tegenover de NIS1-richtlijn uit 2016. ‘Het domein inzake cybersecurity is de voorbije jaren sterk veranderd’, zegt Hohl, ‘net als het dreigingslandschap zelf.’ Bovendien was NIS1 niet duidelijk over het toepassingsgebied en de bevoegdheden. ‘Er was geen coherente implementatie onder alle lidstaten, wat tot concurrentiekwesties kon leiden.’ Dat ging dan weer in tegen het fundamentele idee van een uniforme Europese interne markt en dreigde te ontaarden in een Europa met twee snelheden.
Daarom breidde de Europese Commissie het toepassingsgebied van de richtlijn uit tot meer sectoren en entiteiten. Ze maakt nu een onderscheid tussen essentiële en belangrijke entiteiten, gebaseerd op het aantal werknemers en omzetcijfers. Ook belangrijk: is een bedrijf actief in één van de elf sectoren die van cruciaal belang zijn voor economie en samenleving? Het is vooral die laatste opdeling die de doorslag geeft.
Olievlek
Een en ander betekent dat er veel meer bedrijven onder de vernieuwde richtlijn zullen vallen en dat essentiële entiteiten in cruciale sectoren auditeurs over de vloer zullen krijgen. In België gaat het volgens Cyber Security Management al zeker om zo’n 600 bedrijven. Maar daar stopt het niet, want ook hun hele toeleveringsketen komt in het vizier. ‘Op die manier zal NIS2 aan meer bedrijven raken dan op het eerste gezicht verwacht.’ Schattingen voor ons land spreken al snel over enkele duizenden organisaties. ‘Bovendien zullen essentiële entiteiten ook verantwoordelijk zijn voor de veiligheidsrisico’s binnen hun hele keten.’ Daar zullen leveranciers van IT-diensten een belangrijk deel van uitmaken.
Investeren en sensibiliseren
Volgens het ENISA, het Europees Agentschap voor Netwerk- en Informatiebeveiliging, ziet 83% van de Europese organisaties een positieve impact van de NIS-richtlijn op hun IT-beveiligingsbeheer. Maar er zullen ook investeringen nodig zijn. Amper 12% van de organisaties die onder de NIS1-richtlijn vielen, hebben voor dit jaar een verhoging van hun ICT-budget voorzien. Bij wie nog niet onder NIS1 viel, was dat 22%.
‘2024 is het jaar waarin cybersecurity hét onderwerp op de agenda van de raad van bestuur moet zijn’, aldus Hohl. Tegen oktober 2024 moet de NIS2-richtlijn omgezet zijn in Belgische wetgeving en komt er dus concreet werk op de plank. Daarna doemt april 2026 op als de deadline waarop de betrokken bedrijven en organisaties hun maatregelen in het kader van NIS2 geïmplementeerd moeten hebben. Tegen april 2027 zouden alle audits bij essentiële spelers afgerond moeten zijn.
