NIS2: een wake-upcall voor kmo’s en hun business continuity

De NIS2-richtlijn is in het leven geroepen om de cyberveiligheid binnen de EU naar een hoger niveau te tillen. Organisaties die onder deze regelgeving vallen, zijn verplicht zich te registreren en passende maatregelen te nemen om hun IT-omgeving te beschermen. 

Inmiddels zijn de eerste registraties gestart en zetten bedrijven hun eerste stappen richting een meer robuuste beveiliging. Hoe ver staan we vandaag echt, een jaar na de start van NIS2? Welke organisaties nemen het voortouw, en welke uitdagingen blijven hen parten spelen? 

Europese bedrijven dienen sinds 18 oktober 2024 maatregelen te nemen in het kader van de nieuwe NIS2-richtlijn. In tegenstelling tot zijn voorganger NIS1, is de huidige richtlijn gefocust op bedrijven die kritieke diensten leveren.  

Vandaag bevinden we ons in de registratiefase waarin ondernemingen die onder de NIS2-richtlijn vallen zich officieel moeten aanmelden bij de bevoegde autoriteit. Nadien gaat de fase van actieve handhaving en controle in.  

Volgens het Centrum voor Cybersecurity België (CCB) hebben ongeveer 1.500 essentiële en 2.500 belangrijke entiteiten zich vandaag geregistreerd. Dat is reeds een behoorlijk aantal, maar toch zijn er nog heel wat bedrijven die zich niet geregistreerd hebben of niet weten of ze zich überhaupt moeten registeren.  

Tot de groep die nog in het duister tast, behoren voornamelijk kmo’s. Zij kampen een jaar na datum nog steeds met onzekerheid rond cybersecurity door een gebrek aan kennis en de hoge kosten die ermee gepaard gaan. Kleine ondernemingen hebben vaak niet de middelen om zwaar te investeren in hun IT-infrastructuur of weten niet altijd welke oplossingen nodig zijn. 

Dit heeft te maken met het feit dat cybersecurity in veel kleine bedrijven nog steeds gezien wordt als een louter IT-vraagstuk. Nochtans gaat het om een bedrijfsbreed risico dat ook op managementniveau aandacht en bewustzijn vereist. “Binnen kmo’s wordt er op directeursniveau naar cybersecurity gekeken als een IT-vraagstuk, terwijl dat vandaag lang niet meer zo is. We moeten ook binnen het management awareness creëren”, vertelt Bart Loeckx, Director Networking & Security bij Telenet Business. 

Volgens Loeckx weten heel wat bedrijven bovendien niet wat ze moeten beschermen. Beveiliging is niet louter een wettelijke verplichting, maar een investering in business continuity. 

Organisaties worden daarom aangemoedigd om hun kritieke assets in kaart te brengen en na te denken over de impact indien die zouden wegvallen. De kernvraag is: wat heb ik morgen absoluut nodig om mijn activiteiten voort te zetten? Het antwoord daarop bepaalt de prioriteiten voor beveiliging. 

Organisaties staan er niet alleen voor. Zo heeft het CCB het CyberFundamentals framework ontwikkeld om bedrijven en kmo’s voor te bereiden op de NIS2-richtlijn en een degelijk cybersecuritybeleid. Het raamwerk bestaat uit concrete maatregelen die helpen om bedrijfsgegevens beter te beschermen, veelvoorkomende aanvallen te beperken en de weerbaarheid te vergroten. 

Er zijn vier niveaus voorzien: small, basic, belangrijk en essentieel. Het streefdoel is dat alle organisaties minstens het basic-niveau halen, terwijl de hogere niveaus aansluiten bij de NIS2-verplichtingen. Zo krijgen bedrijven een duidelijk groeipad naar sterkere cyberbeveiliging. 

Telenet Business ondersteunt organisaties bij het bepalen van de juiste stappen richting NIS2. Daarbij wordt gewerkt met een gestructureerde aanpak die inspeelt op de specifieke risico’s, beschikbare budgetten en bedrijfsprioriteiten van elke klant. Zo helpt Telenet Business om gefundeerde keuzes te maken en een haalbare, doordachte cybersecurity roadmap uit te rollen. 

Het CyberFundamentals framework fungeert als praktisch kompas: in overzichtelijke stappen helpt het om cybersecurity niet alleen technisch, maar ook strategisch te verankeren in het IT-beleid. Op die manier zijn kmo’s beter voorbereid op toenemende digitale dreigingen én op de nieuwe verplichtingen van NIS2. 

Een jaar na de inwerkingtreding van NIS2 blijft de implementatie voor veel organisaties, en dan vooral voor kmo’s met beperkte kennis en budgetten, een uitdaging. Toch biedt de richtlijn ook een kans: ze zet cybersecurity eindelijk hoog op de agenda en maakt duidelijk dat digitale weerbaarheid een absolute voorwaarde is voor business continuity. 

Door de juiste ondersteuning en praktische handvaten aan te reiken, kunnen bedrijven stap voor stap hun kritieke processen beschermen en zich beter wapenen tegen de toenemende dreigingen. Zo groeit NIS2 uit tot meer dan een verplichting, maar tot een katalysator voor een veiligere en veerkrachtigere digitale economie.