Wacht met zware boetes voor NIS2

Zonder gedoogbeleid komen onze bedrijven in de problemen

Wacht met zware boetes voor NIS2

Onlangs is de NIS2-wetgeving in België in werking getreden. Ons land was daarmee één van de eerste lidstaten in Europa om de cybersecurityrichtlijn te implementeren. Toch zien we dat veel bedrijven een afwachtende houding aannemen. En dat is begrijpelijk als je kijkt naar de uitdagingen waar ze mee te maken krijgen. Als we ons innovatief vermogen niet in gevaar willen brengen, is een gedoogbeleid vanuit overheidswege voorlopig nog aan de orde.

NIS2 is een noodzakelijke wetgeving, maar het pad naar compliance ligt bezaaid met valkuilen. Zo heeft Europa bijvoorbeeld te weinig aandacht besteed aan de internationale impact van de wet. In elk land ligt de verantwoordelijkheid in handen van een lokale autoriteit. Multinationals die in meerdere landen actief zijn, moeten zich dus per entiteit en per land registreren.

Het ontbreekt aan een consistente richtlijn zoals bij de GDPR. Om aan die privacywetgeving te voldoen, moeten organisaties incidenten vanuit hun hoofdkwartier melden. Voor NIS2 moet elke entiteit die getroffen is door een incident aan de lokale autoriteiten rapporteren, wat het proces behoorlijk complex en verwarrend dreigt te maken. Als de impact van een securityprobleem over de grenzen heen voelbaar is, moet je in principe dus in meerdere landen rapporteren.

Daarnaast mogen we niet vergeten dat NIS2 in vergelijking met de eerste wetgeving op veel meer bedrijven van toepassing is. Voor tal van organisaties is dit de eerste keer dat ze geconfronteerd worden met de vereisten van compliance. Ze weten bijgevolg niet waar ze moeten beginnen, wat het gaat kosten en wat het voor hun organisatie zal opleveren.

Te weinig arbeidskrachten, te veel wetten

Ondertussen zet NIS2 ook extra druk op de arbeidsmarkt. Er is sowieso al een tekort aan profielen voor IT, laat staan dat er veel mensen beschikbaar zijn voor implementatie en audits van NIS2. In België gaat het al gauw over 3.000 bedrijven die aan de wetgeving moeten voldoen en die op hun beurt strenge eisen stellen aan hun leveranciers. Zo komen we gemakkelijk aan > 60.000 bedrijven die compliant moeten zijn en lang niet allemaal even volwassen zijn op het gebied van cyber security.

NIS2 is bovendien niet de enige wetgeving die op de bedrijfswereld afkomt. Er is de EU AI Act, de Corporate Sustainability Reporting Directive (CSRD), de Critical Resilience Act … Om er maar een paar te noemen. Terwijl iedere wetgeving nut heeft, worden organisaties overspoeld door een tsunami aan regels. Hierdoor dreigt compliance te verzanden in een proces waarbij bedrijven gewoon een vakje aanvinken en niet profiteren van de maximale impact van de wetgeving. Bovendien gaan ze intern met budgetten moeten schuiven om alles op te volgen, waardoor de innovatieve kracht van bedrijven in Europa op de helling dreigt komt te staan.

Gebrek aan risicoanalyse

In principe focust NIS2 op een basishygiëne die bedrijven op het gebied van cybersecurity zouden moeten nastreven. Maar veel organisaties zijn hier niet klaar voor. De grootste uitdaging schuilt in het in kaart brengen, analyseren en opvolgen van de risico’s. Dat is nodig om een plan op te stellen dat de businesscontinuïteit garandeert. Vaak hebben bedrijven geen Business Impact Analyse (BIA) of risicoanalyse gedaan, omdat ze het te complex vinden of de business niet willen storen – ook al is het juist in het voordeel van die bedrijfsvoering. Ze zijn bijgevolg niet voorbereid om te detecteren en rapporteren, terwijl dat aan de basis ligt van NIS2.

Verschillende sectoren hebben het moeilijk met de implementatie. Zo staat de gezondheidszorg budgettair al zwaar onder druk. Ze vinden daarnaast ook geen personeel om hun cybersecurity in goede banen te leiden. Ook voor de chemie, transport en de voedingssector is NIS2 erg uitdagend.

Wees mild met sancties

Om de overgang naar NIS2 zo vlot mogelijk te laten verlopen, dringt een gedoogbeleid zich op. In veel gevallen hebben organisaties te maken met een geval van overmacht – te weinig middelen en mensen. Het uitdelen van zware boetes zou enkel dieper snijden in de budgetten van bedrijven. Gelukkig heeft het Center for Cyber Security Belgium (CCB) – de partij waarbij bedrijven zich in ons land moeten aansluiten voor NIS2 – al gesteld dat ze liever constructief willen samenwerken met onze bedrijven om hun cyberweerbaarheid te verhogen.

Daarnaast is er zeker nog nood aan een doorgedreven informatiecampagne. Natuurlijk is er veel info beschikbaar en zien we dat verschillende partijen zich inzetten om kennis te delen. En ook CyFun, het Cybersecurity Fundamentals-framework ontworpen door het CCB, zit goed in elkaar. Toch ontbreekt het voorlopig aan een uitgebreide campagne die de onwetendheid in de markt aanpakt, zeker op bestuurdersniveau.

Samenwerken om snelheid te maken

Om het tekort aan profielen op te lossen, kunnen bedrijven met externe consultants in zee gaan. Maar wees in dat geval alert voor zelfverklaarde NIS2-experts die overal uit de grond schieten. Zo moet je altijd naar de referenties van een partij vragen. Wie hebben ze sinds de eerste NIS-wet begeleid? Hoe pakken ze het aan? Hebben ze ervaring met frameworks zoals ISO of CyFun? En als OT belangrijk is, kunnen ze maar beter de juiste technische kennis en frameworks voorleggen.

Uiteindelijk is er nog wel “tijd” genoeg om NIS2 te implementeren. Afhankelijk van het belang van hun activiteiten hebben bedrijven 18 tot 30 maanden om volledig compliant te zijn. Maar die tijd gaan we zeker nodig hebben. We zullen beter moeten samenwerken en junior profielen opleiden om de leemtes op te vullen. Onder toeziend oog van senior collega’s kunnen zij aan de slag gaan om risicoanalyses uit te voeren. Op basis daarvan kunnen bedrijven hun businesscontinuïteitplan uitwerken, een incident responsplan uitschrijven en verspreiden, en hun architectuur analyseren en optimaliseren. Het worden absoluut nog uitdagende tijden.

Dit is een ingezonden bijdrage van Orange Cyberdefense. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.