NIS2: wat moet je ermee (en wie gaat het doen)?
Tegen 17 oktober 2024 moet België de Europese NIS2-richtlijn omgezet hebben in nationale wetgeving. NIS2 bevat allerhande regels en bepalingen met betrekking op de cyberweerbaarheid van bedrijven en menig organisatie zal er mee geconfronteerd worden. Heb je de juiste mensen in huis die zich over de regels en verplichtingen kunnen buigen?
De juiste expertise is immers belangrijker dan ooit. De eerste versie (NIS1 uit 2016) had een beperkte reikwijdte en had vooral betrekking op grote ondernemingen uit kritieke sectoren. NIS2 gaat veel verder: zelfs wie niet rechtstreeks onder de richtlijn valt, doet er goed aan ze niet te negeren. Dat kan betekenen dat je nieuw talent moet aantrekken, terwijl andere organisaties op hetzelfde moment hun vislijn in dezelfde talentvijver uitwerpen.
De kans dat je met NIS2 in aanraking komt, is immers groot. Organisaties die meer dan 50 personen tellen en zich bezighouden met energie, vervoer, logistiek maar ook zaken als het beheer van ICT-infrastructuur, vallen er rechtstreeks onder. Ontspringt jouw bedrijf de dans? Besef dan dat ondernemingen die er wel onder vallen, verplicht zijn om garanties te vragen van hun toeleveranciers. Wie samenwerkt met bedrijven die NIS2 moeten opvolgen, wordt zo onrechtstreeks ook verplicht om de richtlijn serieus te nemen.
Wie begrijpt de risico’s?
NIS2 is verre van revolutionair. Eigenlijk wil Europa overheden en bedrijven verplichten om gekende best practices te volgen. Helaas is dat voor vele ondernemingen toch nieuws. De richtlijn vertrekt niet vanuit technische specificaties of jargon maar is opgebouwd rond risico: het is aan jou om risico’s te identificeren, passende maatregelen te nemen om ze te beperken en bovendien na te denken over een strategie wanneer er toch iets misloopt.
Dat klinkt niet waanzinnig, maar om in overeenstemming te geraken, heb je heel specifieke competenties nodig. Alles begint bij de risicoanalyse. Wie die gaat uitvoeren, moet een sterke kennis hebben van zowel de IT-infrastructuur als je operationele business. Het volstaat niet om een firewall te plaatsen, een antivirus te installeren en te zeggen dat digitale risico’s zijn afgedekt. Je moet begrijpen hoe je businessprocessen kwetsbaar zijn en daarop ingrijpen. Een firewall gaat een goede phishingmail niet blokkeren, dus wat ga je daaraan doen? En wat wanneer een hacker een nieuwe kwetsbaarheid uitbuit om zich in je netwerk te verstoppen, om later toe te slaan?
Antwoorden op die vragen krijg je enkel van mensen met een diepe kennis van je bedrijf en sector. Sommige ondernemingen zullen de geknipte persoon al in huis hebben, andere lopen achter en worstelen vandaag nog met een kloof tussen IT en de business, los van NIS2. Toch zijn voorgenoemde situaties al dagelijkse kost: met NIS2 wil de EU Europese bedrijven verplichten zich te beschermen tegen bestaande, actuele dreigingen.
Technische expertise gezocht
Met de risicoanalyse achter de rug, begint de volgende fase. Wie in overeenstemming wil zijn met NIS2, moet risico’s afdekken door z’n beveiliging naar een voldoende hoog niveau te tillen. De mensen die vandaag achter de knoppen van het IT-departement zitten, hebben niet de kennis of de ervaring om bijvoorbeeld forensische analyse van logs uit te voeren.
Voor de leek is het misschien aantrekkelijk om te denken dat het ‘allemaal IT’ is, maar in feite verschilt zelfs de mindset van de profielen die je nodig hebt. Een systeemingenieur heeft als job om zo snel mogelijk iets te bouwen en te implementeren, maar een beveiligingsingenieur vraagt zich eerst af hoe veilig een technologie of implementatie is. Je hebt mensen nodig die niet alleen een technologie tot in de puntjes beheersen, maar ook weten welke valkuilen eraan gelinkt zijn.
Bijscholen, aanwerven of uitbesteden?
Als organisatie kan je verschillende stappen nemen. Een eerste essentiële zet is de integratie van IT met je business, indien daar nog een kloof bestaat. Vervolgens moet je kijken naar je de competenties die je in huis hebt, welke ontbreken, en welke je wil binnenhalen. In sommige gevallen kan je bestaand IT-talent gerust bijscholen.
In andere gevallen is uitbesteding misschien een goed idee. Heb je voor jouw onderneming nood aan een security operations center (SOC), waar beveiligingsexperts de klok rond je infrastructuur en netwerk monitoren? Dan moet je bedrijf al een flinke schaal hebben om dat rendabel te maken. En dan moeten de aanwervingen uit een bescheiden talentpoule nog beginnen.
Beginnen in 3, 2, 1… Nu!
Je zal hoe dan ook de juiste mensen moeten aantrekken, wil je in overeenstemming zijn met NIS2. Wacht daar niet te lang mee. 17 oktober is de deadline voor de overheid om de Belgische wetgeving uit te werken. Die zal zelf ook met overgangsperiodes werken, maar de beschikbare tijd tikt snel weg. Om de toekomstige deadlines te halen, ga je best nu al aan de slag. Begin met de risicoanalyse, en vertrouw die toe aan te juiste mensen. Van daaruit kan je verder nadenken over wat je moet beschermen, hoe en met wie.
Op zoek naar een technisch wonder dat zich thuis voelt in je sector? Of een beveiligingsanalyst die hackers van hier tot in het buitenland schrik aanjaagt. CHRLY helpt je graag verder.