VCM2024_05

DIGITALE TRANSFORMATIE

Bedrijven medeverantwoordelijk voor cyberveiligheid partners NIS2 doet Belgische organisaties hun supply chain in kaart brengen Het jaar 2024 is op het vlak van ‘cyber security’ een cruciaal jaar voor ondernemingen. De Europese NIS2 richtlijn verplicht heel wat bedrijven vanaf oktober strikte beveiligingsprincipes en maatregelen voor verhoogd risicobeheer te implementeren. De impact daarvan is groot, niet alleen op de bedrijven zelf, maar ook op hun supply chain. “De bedrijven en hun bestuur zijn zelf verantwoordelijk, al ligt de lat niet voor iedereen even hoog”, klinkt het. D e ‘Network and Information Security’- of kort weg NIS-richtlijn heeft al een lange weg achter de rug. De eerste versie van de richtlijn, NIS1, dateert van 2016. NIS2 zorgt voor een hoogno dige actualisering, gezien de snelheid waarmee de cyberbeveiliging op te schroeven, zal dat sowieso lonen, of je onderneming finaal onder NIS2 valt of niet.”

Ruimere scope In ieder geval staat buiten kijf dat een grotere groep onderne mingen in tal van nieuwe sectoren verplicht zal zijn striktere beveiligingsprincipes en maatregelen voor een verhoogd risi cobeheer te implementeren. “In België gaan we van 150 naar zo’n 2.400 entiteiten”, weet Levi Nietvelt. “Ook organisaties in de supply chain van bedrijven die onder NIS2 vallen, moeten hun cyberbeveiliging verbeteren.” Het zijn in de eerste plaats de organisaties die onder NIS2 vallen die verantwoordelijk zijn voor hun supply chain. “Dat betekent dat toeleveranciers niet dezelfde maatregelen hoeven te nemen. Het kan volstaan dat de leverancier enkel de connectie met een NIS2-entiteit extra beveiligt.” Er gelden twee grote criteria om te bepalen of een bedrijf al dan niet onder NIS2 valt. “Enerzijds is er de sector: de NIS2-richtlijn voegt nieuwe sectoren toe, maar ook binnen bestaande sectoren komen er types entiteiten bij”, licht Levi Nietvelt toe. “Er zijn de zeer kritieke of essentiële sectoren: energie, vervoer, bankwezen, infrastructuur van financiële

zowel cyberveiligheid als het dreigingslandschap evolueren. De nieuwe richtlijn brengt ook meer duidelijkheid over het toepassingsgebied met zich mee. De Europese Commissie bracht er meer sectoren en entiteiten in onder en maakt een onderscheid tussen ‘essentiële’ en ‘belangrijke’ entiteiten. NIS2 krijgt daarom vaak de omschrijving ‘NIS1 on steroids’ toebedeeld. NIS2 dateert van eind 2022 en de Europese lidstaten hebben tot 17 oktober 2024 de tijd om de richtlijn om te zetten in nati onale wetgeving. “Het ziet ernaar uit dat België daar zowaar vroegtijdig in zal slagen”, weet Levi Nietvelt, policy lead bij Beltug, de vereniging van CIO’s en leiders op het gebied van digitale technologie in ons land. De vereniging fungeert onder meer als aanspreekpunt in verband met NIS2 en zet ook in op kennisdeling over de implementatie. “Vanaf 18 oktober geldt de richtlijn voor bedrijven en organisaties die binnen het toepassingsgebied vallen. Maar als je nu al aan de slag gaat om

10

WWW.VALUECHAIN.BE