Bedrijven medeverantwoordelijk voor cyberveiligheid partners

De ‘Network and Information Security’- of kortweg NIS-richtlijn heeft al een lange weg achter de rug. De eerste versie van de richtlijn, NIS1, dateert van 2016. NIS2 zorgt voor een hoognodige actualisering, gezien de snelheid waarmee zowel cyberveiligheid als het dreigingslandschap evolueren. De nieuwe richtlijn brengt ook meer duidelijkheid over het toepassingsgebied met zich mee. De Europese Commissie bracht er meer sectoren en entiteiten in onder en maakt een onderscheid tussen ‘essentiële’ en ‘belangrijke’ entiteiten. NIS2 krijgt daarom vaak de omschrijving ‘NIS1 on steroids’ toebedeeld.

NIS2 dateert van eind 2022 en de Europese lidstaten hebben tot 17 oktober 2024 de tijd om de richtlijn om te zetten in nationale wetgeving. “Het ziet ernaar uit dat België daar zowaar vroegtijdig in zal slagen”, weet Levi Nietvelt, policy lead bij Beltug, de vereniging van CIO’s en leiders op het gebied van digitale technologie in ons land. De vereniging fungeert onder meer als aanspreekpunt in verband met NIS2 en zet ook in op kennisdeling over de implementatie. “Vanaf 18 oktober geldt de richtlijn voor bedrijven en organisaties die binnen het toepassingsgebied vallen. Maar als je nu al aan de slag gaat om de cyberbeveiliging op te schroeven, zal dat sowieso lonen, of je onderneming finaal onder NIS2 valt of niet.”

Ruimere scope

In ieder geval staat buiten kijf dat een grotere groep ondernemingen in tal van nieuwe sectoren verplicht zal zijn striktere beveiligingsprincipes en maatregelen voor een verhoogd risicobeheer te implementeren. “In België gaan we van 150 naar zo’n 2.400 entiteiten”, weet Levi Nietvelt. “Ook organisaties in de supply chain van bedrijven die onder NIS2 vallen, moeten hun cyberbeveiliging verbeteren.” Het zijn in de eerste plaats de organisaties die onder NIS2 vallen die verantwoordelijk zijn voor hun supply chain. “Dat betekent dat toeleveranciers niet dezelfde maatregelen hoeven te nemen. Het kan volstaan dat de leverancier enkel de connectie met een NIS2-entiteit extra beveiligt.”

Er gelden twee grote criteria om te bepalen of een bedrijf al dan niet onder NIS2 valt. “Enerzijds is er de sector: de NIS2-richtlijn voegt nieuwe sectoren toe, maar ook binnen bestaande sectoren komen er types entiteiten bij”, licht Levi Nietvelt toe. “Er zijn de zeer kritieke of essentiële sectoren: energie, vervoer, bankwezen, infrastructuur van financiële markten, gezondheidszorg, drinkwater, afvalwater, digitale infrastructuur, beheer van ICT-diensten, overheid en ruimtevaart. Daar komen andere kritieke sectoren bij: post- en koerierdiensten, afvalstoffenbeheer, productie en distributie van chemische stoffen, productie, verwerking en distributie van levensmiddelen, de maakindustrie, leveranciers van digitale diensten en onderzoek. Anderzijds speelt ook de grootte van bedrijven en organisaties een rol. Kleine organisaties zijn in de meeste gevallen niet kritiek. Dan spreken we van organisaties met een omzet van minder dan tien miljoen euro en minder dan vijftig medewerkers. Maar ook wanneer de omzet en het aantal medewerkers onder bovengenoemde grenzen vallen, kan een organisatie toch in het rijtje van kritieke sectoren passen. Dan spreken we niet van een essentiële entiteit, maar van een belangrijke entiteit.”

Specifiek voor de maakindustrie bieden de bijlagen van de richtlijn extra duiding. Onder de maakindustrie vallen de bedrijven die medische hulpmiddelen, informaticaproducten, elektronische en optische producten, elektrische apparatuur, machines, apparaten en werktuigen, motorvoertuigen, aanhangers, opleggers en andere transportmiddelen produceren. Met andere woorden: het is een erg brede categorie.

Specifieke verplichtingen

Vergeleken met NIS1 specifieert NIS2 beter hoe bedrijven en organisaties aan de richtlijn kunnen voldoen. “Maar NIS2 omvat nog steeds ruime beschrijvingen, zoals ‘je moet een back-up maken’, ‘je moet een inventaris hebben van alle ICT-onderdelen en leveranciers’, ‘je moet een rapporteringsmechanisme hebben in het geval van een incident’, enzovoort. België voegde er nog ‘een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden’ aan toe”, vervolgt Levi Nietvelt. Daarmee loopt ons land voorop. De extra maatregel zorgt ervoor dat ethisch hacken niet langer strafbaar is en dat hackers formeel een melding kunnen doen. “De afgelopen drie maanden heeft het Centre for Cyber Security Belgium (CCB) 29 meldingen gekregen. Daarvan werden er twintig als kritiek bestempeld. Er zijn dus twintig mogelijke incidenten voorkomen.”

Een belangrijke plicht die erbij komt, is de meldingsplicht. “Bedrijven moeten een incident binnen de 24 uur melden, 72 uur later moeten ze meer details geven en na een maand moeten ze een rapport indienen. Die tijdslijn geldt voor heel Europa.” NIS2 legt ook flink wat verantwoordelijkheid bij het management en het bedrijfsbestuur. “Bij bedrijven in kritieke sectoren kunnen bestuurders zelfs tijdelijk uit hun functie worden gezet als blijkt dat ze nalatig zijn geweest.”

Impact op de supply chain

De meest verregaande impact zit wellicht in het feit dat NIS2 organisaties verantwoordelijk maakt voor hun volledige supply chain als die hun betrouwbaarheid, integriteit en beschikbaarheid beïnvloedt.

L. Nietvelt: “Het zal er voor bedrijven op aankomen die supply chain in kaart te brengen en na te gaan hoe mogelijke incidenten tot bij hen kunnen komen. Neem bijvoorbeeld heftrucks die in een magazijn rondrijden: die bevatten vandaag heel wat software die verbonden is met het ERP-systeem. Bedrijven optimaliseren prestaties aan de hand van de uitgelezen data. Als de leverancier van die software het slachtoffer wordt van een hacking, kunnen updates met daarin virussen de heftrucks bereiken en zo ook het bedrijf platleggen. Door de digitalisering zijn we allemaal met elkaar verbonden.”

Levi Nietvelt ziet drie manieren waarop NIS2 een impact zal hebben op de supply chain van bedrijven. “Om te beginnen komt de verantwoordelijkheid voor een veiligere supply chain bij de bedrijven zelf te liggen. Dan gaat het in het bijzonder over IT vendors, zoals leveranciers van software of cloud services. Bedrijven verwachten nu al bepaalde standaarden van hun vendors en die zullen veralgemenen. Zij zien NIS2 ook als een mogelijkheid om zich te laten certificeren en aan te tonen dat ze betrouwbaar zijn.”

Maar het gaat verder dan dat, want we hebben het hier over de volledige supply chain. Dan luidt ook de vraag: hoe belangrijk is elke leverancier voor het bedrijf? “Daarin zitten grote verschillen”, weet Levi Nietvelt. “Voor leveranciers van cruciale onderdelen zullen bedrijven voornamelijk kijken naar certificering, ISO27001 of het nieuw ontwikkelde Cyberfundamentals Framework van het CCB. Hebben leveranciers die niet, dan kunnen bedrijven hun een vragenlijst voorleggen om na te trekken of ze voldoen aan de standaarden voor informatiebeveiliging. Daarbij kunnen zelfs interviews plaatsvinden.”

Tot slot maakt NIS2 het voor bepaalde kritieke sectoren mogelijk op Europees niveau te analyseren waar zich potentiële kwetsbaarheden situeren. “Denk aan het bekende voorbeeld van Huawei en het 5G-verhaal”, illustreert Levi Nietvelt. “Dat werd naar het Europese niveau getild en de mogelijkheid bestaat dat Europa een algemeen verbod instelt op bepaalde leveranciers. Dat is verregaand, maar zal voor niet veel bedrijven van betekenis zijn.” Verder onderstreept Levi Nietvelt dat NIS2 in grote mate ook over informatiedeling gaat. “Op die manier nodigt de richtlijn bedrijven in de supply chain uit om informatie te delen.”

Overgangsperiode

Een mogelijk nog belangrijkere vraag is welke acties bedrijven concreet moeten ondernemen. “Nu wordt duidelijker welke entiteiten welke kaders moeten gebruiken en tegen wanneer. Organisaties kunnen dus al aan de slag”, meent Levi Nietvelt. Voor een aantal van de bedrijven – zij die over een groot netwerk van (IT-)leveranciers beschikken – betekent die ‘due diligence’-oefening op het vlak van cyberveiligheid een enorme uitdaging. Hoe zit het met de haalbaarheid daarvan? “Voor de cruciale entiteiten, zoals de gezondheidszorg, is een overgangsperiode van tweeënhalf jaar voorzien om de zaken op orde te krijgen. Andere sectoren, waaronder ook de maakindustrie, hebben anderhalf jaar de tijd. Dat is de manier waarop België de Europese richtlijn interpreteerde.”

Om te voldoen aan de elf NIS2-maatregelen kunnen cruciale bedrijven op een aantal mechanismen terugvallen.

L. Nietvelt: “Het CCB ontwikkelde het Cyberfundamentals Framework en verschillende tools waarmee bedrijven zichzelf kunnen beoordelen en vervolgens zien om welke maatregelen hun risicoprofiel vraagt. Het framework kan vooral voor niet-internationale bedrijven een handig en welkom verschil maken. Op die manier worden NIS2 en cyberveiligheid heel tastbaar. Afhankelijk van hun risicoprofiel kunnen bedrijven in een lage categorie beginnen. Het framework stelt bedrijven zo in staat stelselmatig naar een hoger niveau te evolueren.”

Maar uiteraard moet er nog meer duidelijkheid komen. “België zet sterk in op de vrije markt om via certificering de zaken vooruit te krijgen. Zo is er naast Cyberfundamentals ook ISO27001 als internationaal kader”, licht Levi Nietvelt toe. “De verschillende certificerende instanties bereiden zich voor om bij organisaties langs te gaan. De vraag zal zijn hoe zij de frameworks interpreteren en of dat overeenkomt met hoe het CCB en de sectorale regulatoren dat doen. zij hebben het laatste woord. Het is belangrijk dat best practices ingang vinden bij medewerkers en dat werkgevers hen daar continu aan herinneren. Daar komen procedures en technologie bij kijken, zoals multi-factor-authenticatie. Dat zal uiteraard een impact hebben op de snelheid van bedrijfsvoering.”

Kosten en samenwerking

NIS2 is dus niet de onmogelijke oefening die de richtlijn op het eerste gezicht lijkt. “Wel is de kans voor sommige sectoren en organisaties klein dat ze hun NIS2-verplichtingen op tweeënhalf jaar rondkrijgen.” Levi Nietvelt spreekt in het bijzonder over de gezondheidszorg. “Dan hebben we het nog niet eens over het kostenplaatje. Dat bestaat enerzijds uit de adoptie van nieuwe technologie, maar ook uit auditkosten. Voor essentiële entiteiten zoals gezondheidszorg, drinkwater, ICT-leveranciers en andere zijn er ook inspecties door het CCB mogelijk. De kostprijs bedraagt rond de1.200 euro per dag. Dat is aan de lage kant in vergelijking met ISO27001-inspecties.” Het voorbeeld toont aan hoezeer de markt daarin speelt.

Voor zo’n 2.400 entiteiten zal NIS2 ook de aanleiding vormen tot nieuwe samenwerkingsverbanden binnen supply chains en daarbuiten, bijvoorbeeld in het Cyberfundamentals Framework. “Leveranciers moeten onder andere melden wanneer personeel met toegang tot de kritieke systemen van klanten, van functie verandert of de organisatie verlaat. Daarnaast zullen ook leveranciers die cruciaal zijn voor de business een audit of monitoring moeten ondergaan.” Levi Nietvelt merkt op dat NIS2 een mentaliteitsshift teweeg kan brengen. “Veel bedrijven doen vandaag geen melding van incidenten omdat ze zich schamen. NIS2 vertrekt vanuit de filosofie dat een cyberaanval iedereen kan overkomen en benadrukt het belang van informatie delen.”

Wat de supply chain betreft: het in kaart brengen van leveranciers is voor de ene organisatie een grotere uitdaging dan voor de andere.

L. Nietvelt: “Anders dan bij sectoren als de gezondheidszorg, zal die oefening moeilijker zijn bij sterk gedecentraliseerde organisaties waar departementen veel vrijheid krijgen om zelf hun leveranciers te kiezen. Hoe dan ook zullen veel organisaties schrikken. Tegelijk kan NIS2 op die manier wel bijdragen aan het kostenoverzicht.”

Opportuniteit

Kortom, NIS2 legt verplichtingen op, maar biedt ook kansen. Levi Nietvelt verwijst naar het verloop van NIS1. “De richtlijn is eerder een continu proces: auditeurs kijken vooral naar de vooruitgang die je boekt. April 2026 – de deadline anderhalf jaar na de start in oktober 2024 – is dus veeleer een startpunt. Voor organisaties komt het erop aan de ‘lessons learnt’ mee te nemen en aan te tonen wat ze doen. Om dat werkbaar te maken, is het nodig permanent aan informatievergaring te doen.” Er is echter nog een belangrijke datum die een jaar eerder valt. “Organisaties hebben tot maart 2025 om zich bij het CCB aan te melden als ze vermoeden dat ze onder NIS2 vallen – en hun traject op te starten.”

FF