Versterk uw beveiliging met een NIS2-assessment

Met de NIS2-richtlijn (Network and Information Security) wil de EU de cyberbeveiliging en weerbaarheid van essentiële diensten tegen cybercriminaliteit in de verschillende lidstaten verhogen. In oktober 2024 zal NIS2 in werking treden in België. Bedrijven en organisaties in kritieke sectoren moeten volgens deze nieuwe wetgeving voldoen aan strenge eisen rond IT-beveiliging en beschikken over uitgewerkte processen om risico’s te beheren. Bedrijven die daar niet aan voldoen, kunnen hiervoor beboet worden.

NIS2 is niet alleen relevant voor grote bedrijven. De opgelegde maatregelen zijn standaardvereisten die elk bedrijf, hoe groot of hoe klein ook, zou moeten implementeren voor een goede cybersecuritystrategie. Ook als uw bedrijf niet in een kritieke sector actief is, kan u met NIS2 te maken krijgen, bijvoorbeeld als uw klanten wel onder de richtlijn vallen. Een klant die aan NIS2 moet voldoen, zal immers aan zijn leveranciers – en dus ook aan u – maatregelen opleggen om zijn toeleveringsketen te beveiligen.

Gedeelde verantwoordelijkheid

“Belangrijk om te weten is dat NIS2 geen pure IT-verantwoordelijkheid is”, zegt Ruben Cools. Hij voert als onafhankelijk consultant assessments uit bij bedrijven die willen weten hoe hun informatiebeveiliging ervoor staat. Volgens Ruben Cools is NIS2 een kwestie die de hele organisatie van een bedrijf aanbelangt. "Informatiebeveiliging is de verantwoordelijkheid van elke werknemer. NIS2 stelt het management verantwoordelijk om de juiste maatregelen te nemen en die op te volgen, maar ook individuele medewerkers moeten zich bewust zijn van hun impact op de veiligheid van het bedrijf. Louter technische oplossingen zijn dan ook niet voldoende. Bewustmakingscampagnes over phishing en andere risico’s, aangepaste bedrijfsprocessen en een plan om efficiënt op incidenten te reageren, zijn minstens even belangrijk."

Hogere cyberbeveiligingsmaturiteit

Hoe begint u aan een traject om uw organisatie NIS2-conform te maken? Allereerst moet u uw cyberbeveiliging als geheel in kaart brengen. "Pas wanneer de tekortkomingen zichtbaar worden, kunnen we bepalen welke stappen u moet ondernemen om NIS2 na te leven", benadrukt Ruben Cools.

De meeste bedrijven kunnen op dit moment nog grote stappen zetten om hun cyberbeveiligingsmaturiteit te verhogen. Hierbij ligt de focus eerst op de minimale vereisten van NIS2 die in orde moeten zijn. De andere aanbevelingen zijn op maat van het bedrijf. “Uiteindelijk is hierbij de vraag: welke risico's loopt u en welke zijn aanvaardbaar? Dat is ook altijd een financiële afweging”, legt Ruben Cools uit. De NIS2-richtlijn hecht veel belang aan een risicoanalyse, en die ziet er in elke organisatie anders uit. Het eindrapport van een NIS2-assessment bevat daarom altijd een dergelijke analyse, zodat de organisatie weet welke risico's ze neemt en kan bepalen waarop ze moet inzetten om aan de complexe eisen van NIS2 te voldoen. Zo vermijdt de organisatie boetes en sancties, en versterkt ze haar cybersecurity.

Organisaties die na een assessment vaststellen niet de juiste kennis in huis te hebben om hun cybersecurity zelfstandig te verhogen om conform te zijn aan NIS2, kunnen een beroep doen op de expertise van Orange Belgium. Wij ondersteunen u bij het nemen van de volgende stappen en rollen dan de juiste technische oplossingen uit om u weerbaarder te maken tegen cyberaanvallen.