De NIS2-regels zijn nu van kracht in België, en heel wat meer bedrijven vallen eronder dan ze zelf verwachten. Hier leest u in gewone taal wat u moet doen.
door Aydan Arabadzha
Als u een bedrijf runt in België en u nog niet hebt uitgezocht of NIS2 op u van toepassing is, dan is dit de tekst die u moet lezen. De richtlijn is geen probleem meer voor later. Ze is omgezet in Belgische wetgeving, het Centrum voor Cybersecurity België (CCB) is de toezichthoudende autoriteit, en de verplichtingen zijn van kracht.
Hier leest u de uitleg in gewone taal, zonder de juridische mist.
NIS2 heeft het net drastisch verbreed in vergelijking met de oorspronkelijke NIS-richtlijn. Ze dekt nu twee categorieën, "essentiële" en "belangrijke" entiteiten, over veel meer sectoren: energie, transport, bankwezen, gezondheidszorg, water, digitale infrastructuur, openbaar bestuur, postdiensten, productie, voeding, chemie en meer.
De vuistregel waarmee de meeste bedrijven kunnen beginnen: als u actief bent in een van de gedekte sectoren en u een middelgroot of groot bedrijf bent (ruwweg 50+ medewerkers of meer dan 10 miljoen euro omzet), ga er dan van uit dat u eronder valt tot u het tegendeel hebt bevestigd. Heel wat middelgrote Belgische bedrijven die zichzelf nooit als "kritieke infrastructuur" hadden beschouwd, vallen er nu onder, vaak via hun toeleveringsketen.
Als u het niet zeker weet, dan is die onzekerheid zelf het eerste wat u moet aanpakken.
NIS2 is opgebouwd rond risicobeheer, niet rond papierwerk om het papierwerk. De kernverplichtingen komen neer op een handvol zaken:
De woorden die in de tekst het meest tellen, zijn "gepaste maatregelen." Toezichthouders zullen u beoordelen op de vraag of uw beveiliging in verhouding staat tot uw risico, en of u dat kunt aantonen.
NIS2 zegt niet met zoveel woorden "u moet een penetration test uitvoeren." Wat de richtlijn wel zegt, is dat u maatregelen moet nemen die gepast zijn voor het risico, en dat u moet kunnen aantonen dat ze werken. Dat is precies wat offensief testen u oplevert.
Een penetration test is de manier waarop u met bewijs aantoont dat uw maatregelen standhouden tegen een echte aanvaller in plaats van enkel op papier te bestaan. Het levert de gedocumenteerde bevindingen, het remediatiespoor en de hertestresultaten op die aan een toezichthouder, een verzekeraar of een bestuur tonen dat u het risico ernstig hebt genomen. Een vulnerability assessment geeft u de doorlopende zichtbaarheid tussen tests in.
In de praktijk doen de bedrijven die NIS2 goed aanpakken drie dingen: ze brengen hun aanvalsoppervlak in kaart, ze testen het eerlijk, en ze houden een papieren spoor bij van wat ze gevonden en opgelost hebben.
U hoeft NIS2 niet in een week op te lossen. Een realistisch startpunt ziet er zo uit:
Wilt u hulp bij die eerste stap, voer dan een gratis website scan uit om uw externe blootstelling in 30 seconden te zien, of praat met een operator en wij helpen u om het correct af te bakenen.
NIS2 is niet het einde van de wereld. Het is vooral een duwtje om de dingen te doen die goede securityteams al deden. De bedrijven die het behandelen als een aanleiding om in actie te schieten, in plaats van als een vakje om aan te vinken, komen er echt moeilijker te kraken uit.