NIS2: paniek is niet nodig, er is genoeg tijd om uw onderneming voor te bereiden

Op vrijdag 18 oktober is de nieuwe NIS2 richtlijn van kracht gegaan in Europa. De NIS2-richtlijn is een initi­a­tief van de Europese Unie om de infor­ma­tie­vei­lig­heid en cyber­weer­baar­heid in heel Europa te versterken. Het is een voort­zet­ting van de oorspron­ke­lijke NIS-richtlijn en dient als basis voor nationale wetgeving in de lidstaten. Wat zijn de gevolgen voor bedrijven en hun bestuurders?

Sowieso zijn bedrijven vandaag een stuk digitaler geor­ga­ni­seerd dan tien of twintig jaar geleden. Er worden meer data verzameld en opge­slagen. In die zin is NIS2 een perfect logische en zinvolle maatregel om die data beter te beschermen in lijn met een meer gedi­gi­ta­li­seerde orga­ni­satie. Het komt erop aan dat bestuur­ders de richtlijn in grote lijnen begrijpen en dat experts ze kunnen toepassen. Paniek is niet nodig, maar actie en gezond verstand wel. Let wel, NIS2 gaat live voor de landen, maar de instel­lingen hebben nog 30 maanden de tijd om deze te imple­men­teren. Dat neemt niet weg dat proactief zijn nu al een must is, want de boetes kunnen oplopen tot verschil­lende procenten van de omzet voor wie echt hardleers is.

Achtergrond

NIS2 is de logische opvolging van NIS1 met verfij­ning én sanc­tie­me­cha­nisme. NIS2 bevat niet zoveel nieuwe maat­re­gelen, maar de toepas­sing ervan wordt nu menens. Eigenlijk gaat het om regels die gezond verstand voor­op­stellen. Europa vraagt bedrijven in de 18 speci­fieke sectoren om basis­re­gels rond infor­ma­tie­vei­lig­heid toe te passen waar niemand tegen kan zijn, vind ik. Door de vele ransom­ware, leve­ran­ciers-security-problemen en gecon­nec­teerde toepas­singen wordt de richtlijn des te rele­vanter. Inves­te­ringen in infor­ma­tie­vei­lig­heid zijn nodig. Een inves­te­ring in infor­ma­tie­vei­lig­heid van 1% van de totale omzet is een minimum, en dat percen­tage zal nog stijgen over heel Europa, zeker voor bedrijven die met bergen digitale data werken. 

Bedrijven moeten zich ook regi­streren tegen einde maart 2025 bij het CCB, het Centrum voor Cyber­se­cu­rity België door de wette­lijke verte­gen­woor­diger van de onder­ne­ming (lees de persoon of personen vermeld in het Belgisch Staatsblad). 

Aanbevelingen

Bedrijven en bestuur­ders die binnen de scope vallen van NIS2 bereiden zich best nu al voor. Kmo’s vallen er doorgaans niet onder, maar wel als ze aanzien worden als kritische leve­ran­ciers door hun klanten die onder NIS2 vallen. Zelfs consul­tants kunnen eronder vallen als ze kritische diensten leveren aan bedrijven die onder NIS2 vallen. Goed opletten is dus de boodschap. 

Ik geef hieronder zeven concrete aanbe­ve­lingen rond NIS2 voor bestuurders.

1. Begrijp waarover het gaat. Bestuur­ders moeten de scope van NIS2 begrijpen en hoe het wordt toegepast in de orga­ni­satie. Weten of de onder­ne­ming al dan niet in scope is, is de eerste stap.
2. Breng cyberrisico’s in kaart en volg ze op: bestuur­ders en direc­tie­leden moeten grondige evalu­a­ties doen van cyberrisico’s en poten­tiële cyber bedrei­gingen in kaart laten brengen. 
3. Herbekijk uw cyber­ri­si­co­be­leid: bestuur­ders en bedrijfs­lei­ders moeten ervoor zorgen dat het cyber­ri­si­co­be­leid up to date is en dat het is afgestemd op de NIS2-vereisten. Het beleid moet minstens systeem­be­vei­li­ging, reactie op cybe­rin­ci­denten, data­be­vei­li­ging en IT reco­ve­ry­plannen omvatten.
4. Neem uw actieplan op cybe­rin­ci­denten er nog eens bij en update het. Bestuur­ders en bedrijfs­lei­ders moeten een doel­tref­fend actieplan voor cybe­rin­ci­denten hebben waarbij de orga­ni­satie inbreuken en cybe­rin­ci­denten kan opsporen, rappor­teren en rechtzetten.
5. Zorg voor voldoende opleiding. Alle mede­wer­kers, inclusief bestuur­ders en direc­tie­leden, moeten oplei­dingen krijgen rond cyber­vei­lig­heid zodat iedereen weet wat zijn of haar taken zijn. 
6. Update de rappor­te­ring en docu­men­tatie: bestuur­ders en direc­tie­leden moeten proce­dures op punt zetten om cyberrisico’s te docu­men­teren en te rappor­teren indien NIS2 dit vereist. Dat omvat tijdige melding aan de overheden en stakeholders.
7. Herbekijk de NIS2 compli­ance audits. Auditeer regel­matig de cyber­se­cu­rity maat­re­gelen en compli­ance prak­tijken zodat ze aansluiten bij de NIS2 vereisten. Deze audits kunnen intern of door externe experts gebeuren.

In een notendop: NIS2 is zinvol. Bestuur­ders moeten NIS2 begrijpen en mee opvolgen op basis van gezond verstand. Bekijk infor­ma­tie­vei­lig­heid als een proces zoals de boekhouding. 

NIS2 is een opstapje naar de aanstel­ling van een Chief Security Officer (CSO)in het direc­tie­co­mité van bedrijven die een algeheel veilig­heids­be­leid willen, zowel offline als online, en die streven naar een optimale veiligheidsmaturiteit. 

Slimme bedrijven hebben door dat dit efficiënt moet worden geor­ga­ni­seerd, en niet op basis van een project net als een steek­vlampoli­tiek. Infor­ma­tie­vei­lig­heid verdient volgens mij namelijk de perma­nente instal­latie van een apart infor­ma­tie­vei­lig­heids­co­mité met kennis van zaken binnen de raad van bestuur naast de reeds bestaande stra­te­gi­sche, nominatie, renu­me­ratie, audit (en innovatie) comités. Bestuur­ders, doe er uw voordeel bij en denk erover na.