Bedrijven uit achttien sectoren hebben nog minder dan een jaar om zich in regel te stellen met de Europese NIS2-richtlijn op het vlak van cybersecurity. Doen ze dit niet, dan kunnen hun bestuurders aansprakelijk gesteld worden. “Eigenlijk is het een verfijning van een aansprakelijkheid die ze al hadden”, zegt Strategic Advisor & Cybersecurity Consultant William Rosenhek van ACEN.
NIS staat voor Network and Information Security. Het gaat om een Europese richtlijn die verankerd is in de Belgische wetgeving. De regelgeving verplicht organisaties om de nodige maatregelen te nemen om hun ICT-systemen te beschermen tegen inbraak en misbruik, alsook eventuele cyberincidenten te rapporteren aan de overheid, wat in ons land bij het Centrum voor Cybersecurity België moet gebeuren.
De NIS2-richtlijn is een verduidelijking en uitbreiding van de NIS1-richtlijn uit 2016. Naast de sectoren die al onder de eerste richtlijn vielen zoals energie, transport en financiële dienstverlening moeten nu ook een aantal andere sectoren voldoen aan de regelgeving. Het gaat onder meer om de producenten van kritische producten als chemicaliën en farmaceutica, de afvalverwerkers, IT-providers, de postdiensten en de overheid.
De richtlijn geldt in die sectoren voor organisaties die aangemerkt worden als exploitanten van kritieke infrastructuur, ongeacht hun omvang. Voor de andere bedrijven wordt gekeken naar een combinatie van het aantal werknemers en financiële parameters als omzet en balanstotaal.
William Rosenhek: “Dit neemt niet weg dat ook andere bedrijven onder de toepassing van de richtlijn kunnen vallen als ze leverancier zijn van een NIS2-plichtige organisatie of als ze door de overheid als zodanig worden aangeduid.”
Bedrijven die onder de richtlijn vallen, hebben tot 18 april 2026 de tijd om een verificatie te verkrijgen door een geaccrediteerde en erkende conformiteitsbeoordelingsinstantie voor hun basisveiligheid. Essentiële bedrijven moeten tegen 18 april 2027 bovendien ook een certificatie voor hun finale niveau van beveiliging hebben.
William Rosenhek (ACEN) is gastspreker op 6 juni tijdens de Governance Summit van De Bestuurder. Inschrijven kan via www.governancesummit.be
De Bestuurder: Hoever staan de Belgische bedrijven in hun implementatie?
William Rosenhek: Het is vandaag toch zeer gemengd.
Grote bedrijven gaan er doorgaans heel goed mee om omdat ze al verplicht zijn maatregelen te nemen op basis van andere wetgevingen of omdat ze langer begrijpen dat een goede beveiliging noodzakelijk is voor hun organisatie. NIS2 is voor deze grote bedrijven vaak een aanvulling en ligt in lijn met de aanpak die ze al eerder hadden.
Andere ondernemingen zie ik dan weer worstelen met de basis. Zo zijn er organisaties die zeer ondermaats met cybersecurity zijn bezig geweest en nu plots voor een grote inhaalbeweging staan. Voor deze organisaties is deze timing toch wel krap en wordt het een uitdaging.
Vooral kleine organisaties, die nu plots in scope van NIS2 zijn, weten niet goed waar te starten. Zelfs het uittekenen van een beleid over cybersecurity is vaak al moeilijk voor hen. Hierbij ondersteunen mijn collega’s en ik organisaties zeer intensief.
Naast de NIS2 wetgeving is het natuurlijk belangrijk om voldoende aandacht te schenken aan de cyberweerbaarheid van je organisatie. Het is niet omdat er geen wetgevend kader is, dat de kans op een aanval kleiner is. Het kader is er net gekomen omdat sommige organisaties het toch niet goed beseffen welke impact zij kunnen hebben op onze maatschappij.
Ik raad iedereen zeker aan beroep te doen op gespecialiseerde organisaties of in samenwerkingsverbanden samen de digitale uitdagingen aan te gaan.
Moeten bestuurders zich zorgen maken over hun aansprakelijkheid voor de toepassing van de NIS2-richtlijn?
De regelgeving voorziet in een reeks mogelijke sancties. Die kunnen gaan van een waarschuwing en de verplichting om risicobeheersmaatregelen te nemen tot eisen om bepaalde activiteiten te stoppen. Let op, we spreken natuurlijk over bedrijven die in scope zijn van de NIS2-richtlijn.
Essentiële bedrijven riskeren bovendien een boete van 10 miljoen euro of 2% van hun wereldwijde omzet, terwijl belangrijke bedrijven een minimale boete van 7 miljoen euro kunnen krijgen of ook 2% van hun wereldwijde omzet.
Bestuurders van de bedrijven die onvoldoende hebben ondernomen, kunnen ook aansprakelijk worden gesteld, al is die aansprakelijkheid eigenlijk niet nieuw.
Ze konden al aansprakelijk worden gesteld voor fouten in de organisatie. ICT is daar in mijn ogen een onderdeel van.
Als je namelijk als bedrijf een fout maakt die impact heeft op het milieu, dan kom je al snel in nauwe schoentjes. Waarom zou dat voor een cyberaanval op een bedrijf wat impact heeft op de maatschappij niet anders zijn?
Wat de nieuwe richtlijn doet, is een verfijning daarvan die nu expliciet opgenomen is in een wettekst.
Is het dan aangewezen dat er binnen de raad van bestuur een ICT of informatieveiligheidscomité wordt opgericht?
Dit is een zeer goed idee. ICT of informatieveiligheid is toch een heel specifiek domein, waar aanzienlijke technische kennis voor nodig is.
Bestuurders die daar minder in mee zijn, kunnen zich ook laten omringen door deskundigen. Zo kunnen zij in hun rol bijgestaan worden om risico’s op een juiste manier in te schatten en de nodige beslissingen hieromtrent te nemen.
Is het nuttig om de beveiliging van je ICT te laten testen door ethische hackers?
Ik ben al zeer blij als organisaties vandaag beginnen met hun maturiteit in kaart te brengen. Of je nu kiest voor theoretische modellen of praktijktesten, het geeft langs beide perspectieven een duidelijk pad vooruit om aan je maturiteit te werken.
Alleen mag je je niet te veel verstoppen achter de theoretische concepten alleen. Ik heb al zeer vaak gezien dat resultaten van een assessment niet altijd een correct beeld geven. Soms is het gekleurd geweest door zeer subjectieve inbreng van de mensen rond de tafel. Enerzijds de IT-director die geen gezichtsverlies wil lijden, anderzijds de mogelijke solution-provider die zijn eigen producten verkoopt als de oplossing bij een slechte score.
En de bestuurder? Die krijgt geen juiste inzichten en onderschat het te vaak.
Ik ben dus absoluut voorstander om iets tastbaar op tafel te krijgen. Enerzijds streven wij naar zeer correcte rapporten met duidelijk actiepunten, maar adviseren wij ook om met ethische hackers testen in de praktijk te organiseren.
Deze ethische hackers gaan ook tewerk zoals iemand die misbruik wil maken van je systeem. Ze zoeken naar zwakke plekken. En eerlijk… dat wil je toch absoluut weten?! Een theoretisch rapport legt niet altijd de urgentie bloot. Terwijl een aantoonbare tekortkoming in je omgeving toch wel zeer concreet is.
Toch zie ik soms dat bedrijven er weigerachtig tegenover staan. De uitkomst zou wel eens negatief kunnen zijn en dus een grote impact kunnen hebben. Dan zijn er die liever de kop in het zand steken.
Vaak is het personeel of de bedrijfsleiding de zwakke schakel.
Ook hier kan je ook de juiste maatregelen nemen.
Zorg er enerzijds voor dat niemand volledige controle over het hele systeem heeft en blijf anderzijds inzetten op een cultuur waarin iedereen gewezen wordt op een gezonde digitale hygiëne.
Wij proberen er altijd een balans in te zoeken. Soms moet je bijvoorbeeld ver gaan en niets of niemand vertrouwen. Dan komen we al snel in zero-trust principes en oplossingen die ervoor zorgen dat je identiteit en toestellen voortdurend gecontroleerd worden alvorens ze acties nemen. Of je kan kijken naar meer organisatorische maatregelen zoals het vierogenprincipe, waarbij mensen steeds minstens per twee optreden.
Maar het belangrijkste is dat culturele aspect. Is iedereen mee in de huidige gevaren van deze digitale wereld? Een foute muisklik op een mail kan al snel je hele verdediging ondermijnen. Daar sta je dan met al je dure oplossingen…
Blijf dus voortdurend inzetten op training van je personeelsleden.
Is het voor de beveiliging niet beter dat bedrijven hun informatica in eigen hand nemen en niet langer outsourcen?
Iedereen zegt altijd dat het beter is om het zelf te doen, maar daar geloof ik niet meer in. De digitale wereld verandert zo snel dat het onmogelijk is om overal in mee te zijn.
Ik zie er toch meer voordeel in om je te laten omringen door kwalitatieve partners. Zij kunnen organisaties op veel vlakken ontzorgen en 24/7 ter beschikking staan als het nodig is. Zo kan je je meer focussen op de core van je business.
Wel is het een aandachtspunt om goed na te denken met wie je in zee gaat. Trap zeker niet in de val van mooie marketingslides en verhalen die zeggen dat ze je NIS2-compliant maken bij de aankoop van hun oplossing.
Denk opnieuw juist na over wat je verwacht van je partners, wat er beveiligd moet worden en wat hun verantwoordelijkheid daarin is. Zoek partners die binnen de context van je organisatie kunnen denken en niet gewoon platvloers technologie of advies verkopen. Met de juiste partner wordt IT (en cybersecurity) niet louter een kost, maar wel een katalysator voor je organisatie.
En als je al niet goed weet hoe die eerste stappen te zetten, dan kunnen strategische adviseurs, zoals ikzelf, daar absoluut bij helpen.
Veel bedrijven werken ook in de cloud. Geeft dat extra risico’s?
Werken in de cloud heeft het voordeel van snelheid en flexibiliteit. Veel meer dan dat je in een eigen datacenter kan verwezenlijken. Cloud-providers investeren zeer sterk in hun dienstverlening. Er komen enorm snel nieuwe producten en services bij.
Als je dit op een juiste manier omarmt als organisatie kan het je helpen om sneller te groeien. Denk maar aan samenwerkingsplatformen, virtuele datacenters, SaaS-toepassingen… het is vaak maar een muisklik ver bij wijze van spreken. En je moet er zelf veel minder tijd in steken, want cloudaanbieders proberen je hier een stuk in te ontzorgen.
Maar tegelijkertijd zit je met tal van uitdagingen. Wat als de foute klik wordt gemaakt? Wat met de veiligheid van je omgevingen? En wat met het dure prijskaartje dat er vaak aan vasthangt?
Het is belangrijk dat je als organisatie een goed evenwicht zoekt en nadenkt hoe je ermee om wilt gaan. Uiteindelijk of je data nu in je eigen datacenter staat of in de cloud, ik zie weinig verschil als je gestructureerd te werk gaat en voortdurend de beveiligingsmaatregelen afstemt op de risico’s van je organisatie.
En wat als er toch impact is? We spreken vaak over een gedeelde verantwoordelijkheid met cloudaanbieders. Wat als het echt misgaat? Wie is er dan aansprakelijk?
Je moet wel beseffen dat de meeste bekende cloudaanbieders Amerikaans zijn. In onze veranderende wereld zijn dat ook elementen die je mee in het achterhoofd moet houden. Opnieuw weer een risico dat je moet afwegen in je organisatie.
Is artificiële intelligentie een zegen of een vloek voor de cyberveiligheid?
Het biedt zowel voor- als nadelen. Via artificiële intelligentie kan je sneller inzicht krijgen als er in je organisatie iets afwijkt van het normale patroon. Stel dat er in alle digitale trafiek plots iets abnormaal is, dan kunnen moderne systemen deze anomalie sneller detecteren.
Het helpt dus zeker om de bescherming naar een hoger niveau te tillen. Deze nieuwe inzichten maken dat er sneller gereageerd kan worden op een mogelijke cyberaanval. Hoe sneller je vandaag een aanval kan detecteren en op een correcte manier reageren, hoe kleiner de kans op grote impact voor je organisatie.
Maar ook aan de kant van de aanvallers biedt het voordelen. Ze kunnen hun aanpak versnellen en ook inzichten verwerven van potentiële slachtoffers. Zij kunnen, net zoals iedereen, ook beroep doen op ChatGPT om stukjes code te schrijven om hun eigen aanpak te verbeteren. Weet wel dat ontwikkelaars van AI er alles aan doen om onethisch gebruik tegen te gaan. Maar met wat creativiteit en slimme vraagstellingen krijg je er toch vaak uit wat je wil bereiken.
Voor bestuurders maken systemen zoals ChatGPT kennis dan weer meer toegankelijk. Is er een domein dat je iets minder goed beheerst, dan kan je sneller en eenvoudiger inzicht krijgen.
Bestuurders kunnen bijvoorbeeld technische rapporten, die doorgaans moeilijk te begrijpen zijn, makkelijker doornemen. Anderzijds kan het ICT helpen om de juiste woorden en invalshoeken te vinden om iets te presenteren aan bestuurders. Artificiële intelligentie verkleint het gat tussen ICT en de business.
William Rosenhek werkt als cybersecurity-adviseur bij ACEN, een Belgisch bedrijf gespecialiseerd in digitale beveiliging. Hij heeft een sterke achtergrond in cybersecurity en programmabeheer, met een focus op het benutten van digitale technologieën voor zakelijk succes. Zijn expertise ligt in het ontwikkelen van creatieve, op maat gemaakte oplossingen die bedrijven helpen navigeren en excelleren in het digitale landschap. Voordat hij bij ACEN begon, was hij verbonden aan IS4U, waar hij zich richtte op Identity & Access Management en werkte met technologieën zoals CyberArk, Keycloak en Silverfort.
Auteur: Johan Van Geyte
