Geldt NIS2 niet voor jouw bedrijf? Toch voldoe je er maar beter aan

​De nieuwe NIS2-wetgeving bracht in de bedrijfswereld al veel in beweging. Toch zien we dat sommige bedrijven er desondanks nog niet mee bezig zijn. Soms heeft dat te maken met het feit dat ze niet onderhevig zijn aan de regelgeving en in de praktijk dus niets hoeven te doen. Maar dat zou hen straks wel eens zuur kunnen opbreken …

Het bijzondere aan NIS2 is het concept dat de baas van het bedrijf vanaf nu verantwoordelijk is als het fout gaat. Vroeger was het gemakkelijk om een zondebok aan te duiden en daar alle schuld op af te schuiven. Natuurlijk valt een cyberincident nooit uit te sluiten, maar de nieuwe wetgeving verwacht wel dat je na een aanval in elk geval kunt aantonen dat je er alles aan hebt gedaan om die aanval te voorkomen en de impact zoveel mogelijk te beperken.

Aangezien CEO’s beseffen dat zij vanaf nu die zondebok zijn, zien we dat veel bedrijven eindelijk wakker schieten. In de eerste plaats door na te gaan of ze onder de wetgeving vallen. Daarna is het belangrijk dat je goed analyseert hoe je zonder overdreven zware inspanningen aan de regels kunt voldoen. In België kunnen bedrijven met behulp van het Cyber Fundamentals framework van het Centrum voor Cybersecurity Belgium (CCB) nagaan wat er moet gebeuren om compliant te zijn, welke controles ze horen te implementeren en hoe ze over incidenten kunnen rapporteren. Want ook dat laatste is belangrijk: cyberincidenten mogen niet meer onder de mat worden geveegd.

Stel het niet langer uit

Wie nog niet begonnen is, wacht daar best niet te lang mee. Uiteindelijk mogen we NIS2 niet als een wettekst beschouwen die als een dreigende zweepslag boven je organisatie hangt wanneer je een regel overtreedt. Waar het echt om draait is dat bedrijven hun cybermaturiteit verhogen. En dat is nodig als je beseft dat het aantal aanvallen met ransomware ondanks alle inspanningen blijft toenemen. Het is een verhaal zonder einde: cybercriminelen worden slimmer en efficiënter dankzij AI-tools, waardoor cybersecurity altijd achterop hinkt.

Ook als je bedrijf niet moet voldoen aan NIS2, kan je er maar beter aandacht aan besteden. Zeker als je samenwerkt met organisaties die wel onder de NIS2-regels vallen. Zij gaan in de toekomst wellicht de voorkeur geven aan partijen die wel compliant zijn, waardoor je dus klanten en partners dreigt te verliezen. Bovendien is het zeker voor deze kleinere spelers essentieel om hun weerbaarheid te verhogen. Een geslaagde cyberaanval resulteert vandaag vaak in een faillissement binnen de 6 maanden.

Maak een risicoanalyse

Hoe begin je hier dan aan? Maak in de eerste plaats een lijstje met de risico’s die je loopt mochten je gegevens (klanten, facturen, intellectuele eigendom,, …) gelekt of permanent vernietigd zijn. Bekijk ook hoe dat zou kunnen gebeuren. Ga vervolgens na hoe groot de kans is dat dit gebeurt en wat de impact voor het bedrijf zou zijn. Op basis van die informatie kan je nu inschatten wat de hoogste prioriteit moet krijgen en wat je eventueel later kunt doen.

Beschouw het analyseren van risico’s niet als een eenmalig proces, maar ga continu op zoek naar factoren die je aandacht vereisen. In OT-omgevingen komen er bijvoorbeeld regelmatig machines en technologieën bij, zoals slimme camera’s die de rolbanden volgen. Maar in de praktijk moeten ze aansluiten op systemen die al twintig tot dertig jaar oud zijn. Daardoor ontstaan er voortdurend nieuwe kwetsbaarheden en risico’s.

Daarnaast veranderen ook mensen en processen, waardoor de risico’s verschuiven. Zorg er dus voor dat je organisatie op geregelde basis een nieuwe analyse uitvoert en dat kennis op de juiste manier wordt gedocumenteerd en overgedragen. Wanneer je zelf de basisprincipes van NIS2 toepast, blijf je een aantrekkelijke partner om mee samen te werken.

Auteur: Alex Ongena, Oprichter, CEO en Managing Director bij AXS Guard