VCM2024_05

DIGITALE TRANSFORMATIE

Overgangsperiode Een mogelijk nog belangrijkere vraag is welke acties bedrij ven concreet moeten ondernemen. “Nu wordt duidelijker welke entiteiten welke kaders moeten gebruiken en tegen wanneer. Organisaties kunnen dus al aan de slag”, meent Levi Nietvelt. Voor een aantal van de bedrijven – zij die over een groot netwerk van (IT-)leveranciers beschikken – betekent die ‘due diligence’-oefening op het vlak van cyberveiligheid een enorme uitdaging. Hoe zit het met de haalbaarheid daarvan? “Voor de cruciale entiteiten, zoals de gezondheidszorg, is een overgangsperiode van tweeënhalf jaar voorzien om de zaken op orde te krijgen. Andere sectoren, waaronder ook de maakin dustrie, hebben anderhalf jaar de tijd. Dat is de manier waarop België de Europese richtlijn interpreteerde.” L. Nietvelt: “Het CCB ontwikkelde het Cyberfundamentals Framework en verschillende tools waarmee bedrijven zichzelf kunnen beoordelen en vervolgens zien om welke maatregelen hun risicoprofiel vraagt. Het framework kan vooral voor niet-in ternationale bedrijven een handig en welkom verschil maken. Op die manier worden NIS2 en cyberveiligheid heel tastbaar. Afhankelijk van hun risicoprofiel kunnen bedrijven in een lage categorie beginnen. Het framework stelt bedrijven zo in staat stelselmatig naar een hoger niveau te evolueren.” Maar uiteraard moet er nog meer duidelijkheid komen. “België zet sterk in op de vrije markt om via certificering de zaken vooruit te krijgen. Zo is er naast Cyberfundamentals ook ISO27001 als internationaal kader”, licht Levi Nietvelt toe. “De verschillende certificerende instanties bereiden zich voor om bij organisaties langs te gaan. De vraag zal zijn hoe zij de frameworks interpreteren en of dat overeenkomt met hoe het CCB en de sectorale regulatoren dat doen. zij hebben het laat ste woord. Het is belangrijk dat best practices ingang vinden bij medewerkers en dat werkgevers hen daar continu aan herinneren. Daar komen procedures en technologie bij kijken, zoals multi-factor-authenticatie. Dat zal uiteraard een impact hebben op de snelheid van bedrijfsvoering.” Kosten en samenwerking NIS2 is dus niet de onmogelijke oefening die de richtlijn op het eerste gezicht lijkt. “Wel is de kans voor sommige sectoren en organisaties klein dat ze hun NIS2-verplichtingen op twee ënhalf jaar rondkrijgen.” Levi Nietvelt spreekt in het bijzonder over de gezondheidszorg. “Dan hebben we het nog niet eens over het kostenplaatje. Dat bestaat enerzijds uit de adoptie van nieuwe technologie, maar ook uit auditkosten. Voor essentiële entiteiten zoals gezondheidszorg, drinkwater, ICT-leveranciers en andere zijn er ook inspecties door het CCB mogelijk. De Om te voldoen aan de elf NIS2-maatregelen kunnen cruciale bedrijven op een aantal mechanismen terugvallen.

ook als een mogelijkheid om zich te laten certificeren en aan te tonen dat ze betrouwbaar zijn.”

Maar het gaat verder dan dat, want we hebben het hier over de volledige supply chain. Dan luidt ook de vraag: hoe belang rijk is elke leverancier voor het bedrijf? “Daarin zitten grote verschillen”, weet Levi Nietvelt. “Voor leveranciers van cruciale onderdelen zullen bedrijven voornamelijk kijken naar certifi cering, ISO27001 of het nieuw ontwikkelde Cyberfundamentals Framework van het CCB. Hebben leveranciers die niet, dan kunnen bedrijven hun een vragenlijst voorleggen om na te trekken of ze voldoen aan de standaarden voor informatiebe veiliging. Daarbij kunnen zelfs interviews plaatsvinden.”

“NIS2 legt meer organisaties

Tot slot maakt NIS2 het voor bepaalde kritieke sectoren moge lijk op Europees niveau te analyseren waar zich potentiële kwetsbaarheden situeren. “Denk aan het bekende voorbeeld van Huawei en het 5G-verhaal”, illustreert Levi Nietvelt. “Dat werd naar het Europese niveau getild en de mogelijkheid bestaat dat Europa een algemeen verbod instelt op bepaalde leveranciers. Dat is verregaand, maar zal voor niet veel bedrij ven van betekenis zijn.” Verder onderstreept Levi Nietvelt dat NIS2 in grote mate ook over informatiedeling gaat. “Op die manier nodigt de richtlijn bedrijven in de supply chain uit om informatie te delen.” verplichtingen op rond cyber security, ook in verband met de veiligheid van hun supply chain”

12

WWW.VALUECHAIN.BE