Europese richtlijn NIS2: Inetum roept op om nu al te starten met de cybersecurity-maturiteitsanalyse

Huizingen, 2 maart 2023

Inetum in België raadt aan zo snel mogelijk een cybersecurity roadmap met bijhorende budgetten te maken naar NIS2, zodat de deadline van 17 oktober 2024 zeker gehaald wordt voor wat algemeen de GDPR op vlak van cybersecurity genoemd wordt.

Inetum, leider op vlak van digitale oplossingen en diensten in Europa, roept organisaties op om nu al te starten met een cybersecurity maturiteitsanalyse in aanloop naar NIS2. Volgens een eerste schatting van het Centrum voor Cybersecurity België (CCB) zouden er zo’n 2.400 Belgische ondernemingen onder de nieuwe wetgeving vallen. Deze Europese richtlijn heeft betrekking op 11 sectoren meer dan NIS1. Het uiteindelijke doel van de NIS2-richtlijn is om organisaties beter te beschermen, risico’s beter te beheren en om incidenten te voorkomen of de gevolgen ervan te beperken.

Iedereen is vandaag de dag overtuigd van het belang van cybersecurity. Precies om die reden wil Inetum organisaties nu al aanzetten om werk te maken van een cybersecurity maturiteitsanalyse en roadmap in aanloop naar NIS2. Dit zou ervoor moeten zorgen dat ze voldoende tijd hebben om de noodzakelijke maatregelen te nemen om veilig te kunnen (blijven) opereren, in overeenstemming met de nieuwe NIS2-richtlijn.

Nu starten met de analyse is absoluut noodzakelijk

De nieuwe NIS2-richtlijn zal van toepassing zijn op ‘essentiële’ en ‘belangrijke’ ondernemingen van bepaalde grootte binnen bepaalde sectoren. Er zijn 11 sectoren bijgekomen sinds NIS1. Binnen de categorie van ‘essentiële’ ondernemingen is er nog een subcategorie ‘kritieke’ ondernemingen. Elke lidstaat bepaalt zelf welke ondernemingen hieronder vallen en welke niet. Het CCB schat dat er zo’n 2.400 organisaties in België onder deze nieuwe richtlijn zullen vallen.

Duidelijkheid zal er sowieso pas eind dit jaar of begin 2024 komen, wanneer het CCB schat klaar te zijn met zijn voorbereidend werk. Maar de richtlijn moet al geïmplementeerd zijn tegen 17 oktober 2024 door de betreffende organisaties. Als men de richtlijn volgend jaar wil implementeren, zullen de nodige securityspecialisten, budgetten en resources daartoe moeten voorzien zijn. Inetum heeft bijna 100 securityspecialisten ter beschikking in België, maar werkt ook samen met haar nearshore-specialisten in Spanje. Dus: nu starten met de analyse zodat de roadmap en de budgetten kunnen gemaakt worden is absoluut noodzakelijk. Idealiter kunnen er dit jaar ook al zaken geïmplementeerd worden, zodat de kosten gespreid worden, aldus Jo Leemans, Director Infrastructure, Outsourcing and Resell bij Inetum in België.

Cybersecurity-maturiteitsanalyse om inzicht te krijgen

De Belgische regering moet de richtlijn nog concreet omvormen tot een wet. Daarom is de uiteindelijke wetgeving nog niet helemaal duidelijk. Wel is het zo dat alle lidstaten van de Europese Unie ervoor moeten zorgen dat de betrokken organisaties de noodzakelijke maatregelen toepassen en dat ze aansprakelijk kunnen gesteld worden voor het ontbreken van deze maatregelen.

De minimale maatregelen zijn wel al reeds gekend. Hieronder vallen onder andere het verplicht (laten) uitvoeren van een risicoanalyse, het bezitten van een incident response plan, een cybersecuritytraining voor het management, het bezitten van een business continuity plan, een uitgeschreven beleid en procedures voor het evalueren van de effectiviteit van de genomen beveiligingsmaatregelen, etc. Tot slot zullen er passende technische, operationele en organisatorische maatregelen genomen moeten worden om beveiligingsrisico’s te beheren, incidenten te voorkomen of de gevolgen ervan te beperken.

Om geen slachtoffer te worden van cybercriminaliteit of om die kans minstens minimaal te houden, raden we eigenlijk elke organisatie aan zijn cybersecurity te upgraden naar het niveau dat vereist wordt door NIS2. Ook organisaties die niet binnen de vermelde sectoren van NIS2 vallen, hebben baat bij een maturiteitsanalyse om te weten waar ze staan en in hoeverre ze beschermd zijn tegen mogelijke aanvallen. Aangezien NIS2 sterk inzet op de relatie tussen bedrijven en hun leveranciers, zullen bedrijven die vallen onder NIS2 ook het beveiligingsniveau van hun leveranciers moeten beoordelen. Hierdoor zullen leveranciers onrechtstreeks ook onder NIS2 vallen, concludeert Koen Tamsyn, Solution Manager Cybersecurity bij Inetum in België.

Over Inetum, Positive digital flow

Inetum is een flexibel IT-dienstenbedrijf dat digitale diensten en oplossingen levert, en een wereldwijde groep die bedrijven en instellingen helpt om het maximum uit de digitale flow te halen. In een context van continue beweging, waarbij behoeften en gebruiken voortdurend opnieuw worden uitgevonden, helpt Inetum al deze spelers om te innoveren, zich aan te passen en voorop te blijven lopen. Met zijn multi-expertenprofiel biedt Inetum zijn klanten een unieke combinatie van nabijheid, sectorgebaseerde organisatie en oplossingen van industriële kwaliteit. De groep is actief in meer dan 27 landen, telt bijna 27.000 medewerkers en genereerde in 2021 een omzet van 2,2 miljard euro.