Het belang van NIS2 voor KMO’s

De Network and Information Security directive, of NIS2-richtlijn, is de opvolger van de NIS-richtlijn. De reden voor deze opvolger is dat cyberaanvallen steeds groter en geavanceerder worden, met potentieel een gigantische impact op de economie en maatschappij. Denk maar aan onze afhankelijkheid van bijvoorbeeld nutsvoorzieningen, transport, overheidsdiensten, of IT zelf. Bovendien zijn veel bedrijfsprocessen inherent met elkaar verweven en kan een aanval op een toeleverancier of klant, bedrijven hoger of lager op de keten impacteren. Daarom voelde Europa de noodzaak om de wetgeving te verbeteren. Het biedt een versterkt juridisch kader om de weerbaarheid van bedrijven en organisaties in de EU te vergroten, dit o.m. door het afdwingen van sterkere beveiligingsmaatregelen en het voorkomen dat incidenten zich verder verspreiden. 

Om hierop dieper in te gaan, zaten we samen met Koert Van Espen, cybersecurity expert van Apogado en Sander Berghmans, onderzoeker en expert corporate governance voor KMO’s bij GUBERNA. Patrick Hauspie van Vlaio voorzag het interview dan weer van een aantal interessante quotes.  

 

Waarom is NIS2 zo belangrijk voor bestuurders en niet enkel voor IT-afdelingen?

Koert: Cybersecurity is al lang geen louter technische uitdaging meer, maar een strategische kwestie die de hele organisatie raakt. Onder NIS2 zijn bestuurders niet alleen verantwoordelijk voor het naleven van de regelgeving, maar ook persoonlijk aansprakelijk bij ernstige nalatigheid. Dit betekent dat beslissingen over cybersecurity integraal onderdeel moeten zijn van de bedrijfsstrategie.

Sander: Wat Koert zegt klopt, NIS2 raakt één van de fundamentele aspecten van strategie, namelijk risicobeheersing. Bovendien is het iets dat constant gemonitord moet worden, waarbij de risico’s steeds opnieuw moeten worden ingeschat. Opnieuw een taak voor de bestuurders. Zij moeten bijvoorbeeld het management bevragen of de cyberbeveiliging wel nog up-to-date is.   

Veel hardwerkende ondernemers verloren al duizenden euro’s en zagen cruciale bedrijfsprocessen dagen- of wekenlang stilvallen. Naast financiële schade, richten cyberaanvallen ook reputatieschade aan bij getroffen bedrijven. Ze slaan een deuk in het vertrouwen bij klanten en leveranciers. Durf je daarom af te vragen wat de impact van een cyberaanval op je onderneming zou kunnen zijn en of je voldoende voorbereid bent om daar adequaat op te reageren. (Patrick Hauspie – Programma adviseur Artificiële Intelligentie en Cyber Security VLAIO) 

Nis 2 KMO

Wat zijn de grootste misverstanden over NIS2? 

Koert: Een veelvoorkomend misverstand is dat NIS2 alleen betrekking heeft op grote ondernemingen die als kritisch beschouwd worden, terwijl bijna elk bedrijf wel ergens in de zogenaamde toeleveringsketen zit van een ander bedrijf dat rechtstreeks onderhevig is aan NIS2. En in dat geval wordt ook van jouw bedrijf verwacht om te voldoen aan de NIS2-regels.

Een ander misverstand is dat men denkt dat NIS2 – of bij uitbreiding cybersecurity in het algemeen - enkel een IT-kwestie is, terwijl heel de organisatie moet betrokken worden (denk maar aan het herkennen van incidenten, cyberhygiëne, het vrijmaken van de nodige budgetten, het invoeren en opvolgen van procedures...). Tenslotte meent men ook soms dat dat compliance een eenmalige oefening is. NIS2 vereist echter voortdurende evaluatie en verbetering. 

 

Sander: Sommige bedrijven denken dan weer foutief dat ze te klein zijn, en bijgevolg geen interessant doel vormen voor een aanval. Dat kan soms waar zijn, maar voor sommige sectoren moeten ook de kleinere ondernemingen voldoen aan NIS2. Een ander misverstand is dat als je niet verplicht bent om aan NIS2 te voldoen, dat NIS2 geen nut kan hebben.  

  • Wacht als onderneming echter niet op deze wettelijke verplichtingen om van start te gaan met het versterken van jouw cyberveiligheidsbeleid. Dit geldt zowel op het niveau van de organisatie, als voor de digitale oplossingen of tools die jij als onderneming aanbiedt. (Patrick Hauspie – Programma adviseur Artificiële Intelligentie en Cyber Security VLAIO) 

 

Belangrijkste aandachtspunten voor bestuurders 

Wat zijn de eerste stappen die een bestuurder nu moet nemen om NIS2-compliant te worden? 

Koert: De belangrijkste taak voor bestuurders is om het management te ondersteunen door de nodige budgetten vrij te maken, de nodige betrokkenheid te tonen, en het juiste “ecosysteem” in te (laten) richten (team, rapportagelijnen, timing, raamwerken, etc).  

Sander: Vanuit governance oogpunt is het ook nuttig om jezelf in te lezen in de materie. Je moet geen expert zijn in cyberveiligheid, maar je moet de basics wel verstaan. Een raad moet ook een zicht hebben op welke processen binnen het bedrijf het kwetsbaarste zijn en hoe NIS2 compliance (of niet-compliance), de relatie met de klanten en toeleveranciers kan beïnvloeden.  

Hoe kunnen bestuurders cybersecurity integreren in hun bedrijfsstrategie zonder het als een puur IT-project te zien? 

Koert: Cybersecurity moet worden benaderd als een integraal onderdeel van risicomanagement. Dit betekent dat bestuurders duidelijke governance-structuren moeten goedkeuren, met verantwoordelijkheid en rapportagelijnen die niet alleen bij de IT-afdeling liggen. 

Sander: Cybersecurity moet inderdaad net als AI geen ver van het bed show blijven van de bestuurder. Een belangrijke tip: agendeer het als vast punt op de raad! Zo blijft het constant onder de aandacht en groeit het uit tot een vast onderdeel van het risicomanagement en de bedrijfsstrategie.  

Elke Vlaamse onderneming heeft nood aan een sterk onderbouwd plan van aanpak op maat van zijn organisatie om de cyberweerbaarheid van de organisatie te vergroten. Zo’n strategie integreert cyberveilig handelen in de alledaagse werking van het bedrijf, wat zorgt voor betere bescherming van bedrijfsgegevens en een aanzienlijke vermindering van het risico op de meest voorkomende cyberaanvallen. (Patrick Hauspie – Programma adviseur Artificiële Intelligentie en Cyber Security VLAIO) 

 

Welke sectoren lopen het grootste risico en moeten extra waakzaam zijn bij de implementatie van NIS2? 

Koert: Sowieso alle sectoren zoals vastgelegd bij wet, en dit is een vrij uitgebreide lijst, denk maar aan energie, transport, overheid, voeding, productie, etc., maar zoals al eerder aangehaald, onrechtstreeks ook alle toeleveranciers van deze sectoren.  

Sander: Hier kan je eigenlijk net als bij de CSRD directive proberen om van wetgeving een sterkte te maken. Als toeleverancier kan je bijvoorbeeld kiezen voor een sterke cybersecurity, hetgeen een verkoopargument kan vormen.  

Hoe kunnen bedrijven zich voorbereiden op audits en inspecties rond NIS2? 

Koert: Een robuust documentatie- en rapportagesysteem is cruciaal, in combinatie met interne audits. Om de nodige conformiteit te behalen (en te bewijzen) kan je in ons land gebruik maken van ruwweg twee raamwerken, met name het ISO27001-raamwerk en het door onze eigen overheid ontwikkelde CyberFundamentals-raamwerk. Een goede begeleiding hierbij is essentieel. 

Sander: Als we verder mogen gaan op hoe NIS1 geïmplementeerd werd zullen de eerste inspecties waarschijnlijk niet direct leiden tot zware boetes of sancties, maar zullen er aanvankelijk waarschuwingen of tips gegeven worden. Pas indien bedrijven blijven weigeren te implementeren, of zeer laat, en bij bedrijven met een zeer groot belang, zullen we de eerste boetes zien. 

 

Grootste uitdagingen en hoe ze te overwinnen 

Wat zijn de grootste uitdagingen bij het implementeren van NIS2 in organisaties? 

Koert: Complexiteit en de snelle evolutie van dreigingen zijn grote uitdagingen. Het is essentieel om flexibel en adaptief te zijn, en hiervoor een juist “klankbord” te installeren. 

Hoe kunnen bedrijven omgaan met de complexiteit en kosten van NIS2-compliance? 

Koert: Door prioriteiten te stellen op basis van risico's, te investeren in schaalbare, toekomstbestendige oplossingen, en ook de ROI mee te beschouwen. Een productielijn die twee weken platligt, kost ook wel wat.  

Sander: Meer nog, bij het vaststellen van de risico’s zal men zien dat een productielijn die twee weken platligt zelfs kan leiden tot het faillissement van het bedrijf. Het mag dan wel een complexe oefening zijn, het is een immens belangrijke oefening voor het voortbestaan van het bedrijf.  

 

Hoe moeten bestuurders omgaan met weerstand binnen hun organisatie tegen nieuwe cybersecuritymaatregelen? 

Koert: Communicatie is essentieel. Leg uit waarom de maatregelen nodig zijn en betrek medewerkers bij de implementatie om eigenaarschap te creëren. 

Wat kunnen kleinere organisaties doen als ze niet dezelfde middelen hebben als grote bedrijven? 

Koert: Samenwerking is de sleutel. Maak gebruik van gedeelde diensten, externe experts en overheidssubsidies (bv. de Vlaio-Cybersecurity-Verbetertrajecten). 

Sander: De Vlaio-cybersecurity verbetertrajecten zijn hierin echt cruciaal. Tijdens een cybersecurity verbetertraject helpt een erkende dienstverlener om de cybersecurity van een onderneming te versterken. VLAIO subsidieert bij kmo's en maatwerkbedrijven 50% van de kosten voor het inkopen van deze externe begeleiding. Bij ondernemingen die niet voldoen aan de kmo-criteria maar wel onder de NIS2-richtlijn vallen bedraagt de tussenkomst van VLAIO 35% van de kostprijs. Het loont dus zeker de moeite je als bedrijf hierin te verdiepen.  

Investeer in Cyberveiligheid/cyber resilience niet omdat het een  wettelijke verplichting is, maar om de toekomst van je bedrijf, van je partners, klanten en leveranciers veiliger te maken. (Patrick Hauspie – Programma adviseur Artificiële Intelligentie en Cyber Security VLAIO) 

 

Risico’s en gevolgen bij niet-naleving 

Wat zijn de mogelijke consequenties voor bestuurders als hun organisatie niet voldoet aan NIS2? 

Koert: Bestuurders kunnen persoonlijk aansprakelijk worden gesteld bij ernstige nalatigheid. Verder zijn er natuurlijk ook zware boetes mogelijk, uiteraard reputatieschade, en een hele reeks mogelijke administratieve sancties. Maar dit alles is klein bier tegenover de schade ten gevolge van een cyberaanval.  

Sander: Inderdaad, je bent als bestuurder persoonlijk aansprakelijk. Je kan in zo een geval geen beroep doen op het feit dat je niets zou kennen van van cybercrime of de wetgeving. Als raad van bestuur neem je namelijk collegiaal beslissingen, dus je draagt collectief de verantwoordelijkheid. Naast deze juridische gevolgen, mag je ook niet de eventuele reputatieschade vergeten die een bestuurder lang zal blijven achtervolgen als het bedrijf waar deze in de raad zit, niet voldoet aan de NIS2 directieve of wanneer dit bedrijf als gevolg van nalatigheid te maken zou krijgen met cybercrime.  

Hoe wordt naleving gehandhaafd, en welke rol spelen toezichthouders hierin? 

Koert: Toezichthouders hebben uitgebreide bevoegdheden om audits uit te voeren, inspecties te doen en sancties op te leggen bij niet-naleving zoals hierboven al aangehaald 

  • Kan een cyber-insurance zorgen voor gemoedsrust? 

Koert: Een cyberverzekering kan zeker helpen bij het opvangen van financiële schade, maar is geen vervanging voor goede beveiligingsmaatregelen. Bovendien hanteren verzekeringsmaatschappijen vaak strenge opschortende voorwaarden (m.a.w. er moeten voldoende cybersecurity-maatregelen geïmplementeerd zijn).  

Sander: Eigenlijk zouden we een cyberverzekering aan iedereen aanraden, als deze inderdaad gecombineerd wordt met degelijke beveiligingsmaatregelen. De kosten zijn niet vreselijk hoog, terwijl de potentiële schade dat wel is. Bovendien bieden sommige verzekeraars begeleiding aan tijdens een cybercrime incident, zodat de schade beperkt kan worden.  

 

Toekomst 

Tenslotte wat is de toekomst van cybersecurity en regelgeving in Europa na NIS2? 

Koert: Cyberdreigingen blijven evolueren, en regelgeving zal daarmee mee evolueren. Er komt steeds meer aandacht voor supply-chain security en AI-compliance. 

Sander: De nog niet zo lang geleden aangenomen AI-act is inderdaad tot op zekere hoogte gelinkt aan cyberveiligheid. Denk maar aan het verbod om bepaalde types AI te gebruiken. Mogelijks zal de toegenomen geopolitieke onzekerheid, en dan vooral de dreiging van een hybride oorlogsvoering, maar ook bijvoorbeeld het toegenomen gebruik van AI door criminelen relatief snel leiden tot een NIS3. 

Do’s & don’ts voor bestuurders 

Wat zijn de absolute do’s voor bestuurders bij NIS2-compliance? 

  • Zorg voor een echte top-down betrokkenheid en duidelijke verantwoordelijkheden. 

  • Investeer in voortdurende opleiding en bewustwording. 

  • Heb begrip voor de technische uitdagingen. 

  • Wees realistisch en ondersteun een risico-gebaseerde aanpak.  

  • Integreren van de cybersecurity in de bedrijfsstructuur door communicatie en beloning positief gedrag(sverandering). 

  • Praktijkgerichte training met uitleg van het BELANG procedures en regels. 

  • Voorzie realistische budgetten. 

  • Overweeg een verzekering. 

  • Begeleiding door betrouwbare specialisten indien er in het bedrijf niet voldoende kennis aanwezig is.  

Wat zijn veelgemaakte fouten (don’ts) die bedrijven maken bij de invoering van NIS2? 

  • Alleen reageren op externe audits in plaats van proactief te handelen. 

  • Cybersecurity behandelen als een eenmalig project of als een IT-gebeuren. 

  • De “Compliance-druk” beschouwen als de sterkste motivator (cybersecurity gaat immers over het beschermen van de eigen bedrijfsmiddelen!).