Artificiële intelligentie in het HR-proces:
juridische aandachtspunten

Mr. Inger Verhelst en mr. Matthias Vandamme

(Claeys & Engels)

Webinar op vrijdag 7 februari 2025


Wenst u meerdere opleidingen
te volgen bij LegalLearning?

Overweeg dan zeker ons jaarabonnement 

 

Krijg toegang tot +150 opleidingen

Live & on demand webinars

Voor uzelf en/of uw medewerkers

NIS2 Compliance: de weg vooruit na de deadline van 18 oktober 2024 (Grant Thornton)

Auteur: Jacob Mareen (Grant Thornton)

De Richtlijn Netwerk- en Informatiebeveiliging 2 (NIS2) en de overeenkomstige Belgische wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerken en informatiesystemen van algemeen belang voor de openbare veiligheid zullen het cyberbeveiligingslandschap voor bedrijven in België, de Europese Unie en elk bedrijf dat hier zaken wil doen, hervormen. Met de compliance-deadline van 18 oktober 2024 worstelen veel bedrijven nog steeds met het begrijpen van de omvang, de impact, de respectievelijke vereisten en het nemen van de nodige stappen om hieraan, direct of indirect te voldoen. Dit artikel schetst de belangrijkste aspecten van NIS2, wat u en uw organisatie moeten doen en hoe u de inspanningen op korte termijn kunt maximaliseren.

Wat is NIS2 en waarom is het van cruciaal belang voor Belgische bedrijven?

De NIS2-richtlijn is gericht op het verbeteren van de reactie van organisaties op cyberaanvallen, het versterken van de samenwerking en uitwisseling van informatie. Het toepassingsgebied is dus breder dan voorheen en omvat een breed scala aan industrieën. Niet enkel zij die actief zijn in sectoren met een “hoge gevoeligheid”, zoals energie, vervoer, financiën, gezondheidszorg, maar ook die in andere sectoren zoals digitale aanbieders, postdiensten, afvalbeheer en andere essentiële diensten voor onze samenleving. De richtlijn voorziet in cruciale maatregelen voor het beheer van cyberbeveiligings-gerelateerde risico’s en rapportageverplichtingen voor significante incidenten.

Belangrijkste cyberbeveiligingsvereisten in het kader van NIS2

Om naleving te bereiken, moet u aan een aantal cruciale vereisten voldoen:

  1. Risicobeheer: Implementatie van robuuste maatregelen om enerzijds cyberbeveiligingsrisico’s te herkennen, en anderzijds beheren doormiddel van incidentresponsplannen, kwetsbaarheidsbeheer en regelmatige risicobeoordelingen.
  2. Incidentrapportage: Melden van significante incidenten binnen 24 uur na detectie aan het Center for Cyber Security (CCB), met een gedetailleerd vervolgrapport binnen 72 uur. Het is hierbij tevens belangrijk om  uw organisatie al te registreren als u aan NIS2 moet voldoen.
  3. Beveiliging van de toeleveringsketen: Zorg voor de (controle op de) beveiliging van de hele toeleveringsketen van uw organisatie, inclusief externe dienstverleners en partners.
  4. Governance en verantwoording: Definieer duidelijke governancestructuren, wijs verantwoordelijke personen aan voor cyberbeveiliging en zorg voor regelmatige training van het personeel. Bovendien moet uw raad van bestuur en management worden getraind in cyberbeveiliging om hun verantwoordelijkheden en aansprakelijkheden op zich te nemen, zoals vereist door de NIS2-wetgeving. Voor het nemen van managementbeslissingen over cybersecuritystrategieën en -maatregelen op directieniveau is basiskennis van risicomanagement en cybersecurity onmisbaar.
  5. Samenwerking en informatie-uitwisseling: Neem actief deel aan netwerken voor informatie-uitwisseling en werk samen met diverse autoriteiten op het gebied van cyberbeveiliging.
5 stappen om uw cyberbeveiliging te verbeteren voor NIS2-naleving

Het bereiken van NIS2-compliance kan een uitdaging lijken, maar door te concentreren op belangrijke gebieden kan uw bedrijf voldoen aan de regelgeving en tegelijkertijd de algehele veerkracht vergroten. Het prioriteren van investeringen zorgt voor naleving zonder uw budget te overschrijden.

Beoordeel uw huidige cyberbeveiligingshouding

Om te begrijpen waar uw organisatie vandaag staat en om de volgende stappen adequaat te plannen, is het belangrijk om in eerste instantie zowel de meest kritieke kwetsbaarheden te identificeren, als gebieden aan te kaarten waar de bestaande maatregelen tekortschieten.

  • Ken uw organisatie en begrijp alle processen, diensten en kritieke activa als eerste stap voor een effectief beheer van cyberbeveiliging. Wanneer u een duidelijk beeld heeft van uw ‘kroonjuwelen’, kunt u nauwkeurige maatregelen en acties uitvoeren die zich richten op die gebieden die u het meest zouden impacteren in geval van een incident of inbreuk.
  • Voer een gap-analyse uit: Voer een evaluatie uit van uw NIS2-gaps om verbeterpunten en risico’s te identificeren. Een gap-analyse is cruciaal om inzicht te krijgen in de huidige staat van de cyberbeveiliging van het bedrijf ten opzichte van de NIS2-vereisten. In dit proces worden gebieden vastgelegd waar het bestaande beleid en de bestaande praktijken tekortschieten en waar verbeteringen nodig zijn. Vergelijk de vastgestelde lacunes met de belangrijkste aanbevelingen en goede praktijken, met de nadruk op de meest kritieke gebieden.
  • Zorg voor een strategisch (investerings)plan: Focus op investeringen die een daadwerkelijke toegevoegde waarde opleveren ten opzichte van de eisen die in de wet zijn vastgelegd, en garandeer zo een alomvattend beheer van cyberrisico’s.

Verbeter de mogelijkheden voor incidentrespons

Het bekende gezegde ‘het is niet of, maar wanneer’ is ook van toepassing op cybersecurity en mogelijke incidenten of inbreuken. Als organisatie moet u voorbereid zijn om cybersecurity-incidenten snel te detecteren, te rapporteren en erop te reageren. Dit betekent:

    • Het opzetten van een incidentresponsteam (indien nog niet aanwezig).
    • Monitoring van kritieke systemen.
    • Simulaties en oefeningen om ervoor te zorgen dat teams voorbereid zijn op echte incidenten.
    • Herzien van procedures voor het melden van incidenten om te voldoen aan de 24-uurs meldingsvereiste.

Beleid en governance bijwerken

Papierwerk heeft nog nooit een daadwerkelijk incident tegengehouden, maar het is van cruciaal belang om de basisregels en ‘non negotiables’ binnen uw organisatie te definiëren. U moet een kader en beleid hebben dat aansluit bij de vereisten van NIS2. Zorg ervoor dat u in eerste instantie een minimale structuur kunt opzetten en zorg voor de nodige verantwoording over cyberbeveiliging. Dit houdt in:

  • Het toewijzen van een duidelijke verantwoordelijkheid voor cyberbeveiliging op uitvoerend niveau.
  • Wijs een aanspreekpunt aan dat verantwoordelijk is voor cybersecurity, ook al gaat het om een bestaand personeelslid.
  • Ontwikkel of moderniseer het basisbeveiligingsbeleid voor belangrijke gebieden zoals wachtwoordbeheer, toegangscontrole en reactie op incidenten
  • Personeel regelmatig opleiden over best practices op het gebied van cyberbeveiliging.
  • Het opzetten van een interne audit- of controlefunctie om cyberbeveiligingspraktijken te beoordelen.

Versterk de beveiliging van de toeleveringsketen

NIS2 legt een sterke nadruk op het beveiligen van de supply chain, daarom is het als organisatie belangrijk om aan die supply chain security eisen te voldoen. Daarvoor moet u ten minste de volgende acties ondernemen:

  • Begrijp uw eigen positie in de grotere toeleveringsketen en bepaal uw verplichtingen naar en van externe belanghebbenden.
  • Identificeer belangrijke externe dienstverleners en vraag om bewijs van hun cyberbeveiligingsmaatregelen (bijv. certificeringen, auditrapporten) om hun beveiligingshouding te beoordelen. Concentreer u eerst op uw leveranciers met een hoog risico. Gebruik een eenvoudige checklist om risico’s van derden te beoordelen en leveranciers te prioriteren op basis van de gevoeligheid van de gegevens of diensten die zij aan u leveren.
  • Neem cyberbeveiligingsvereisten op in leverancierscontracten en zorg ervoor dat u kunt voldoen aan eisen die u door partners of klanten worden opgelegd.
  • Ontwikkel een proces voor het continu monitoren van risico’s van derden, aangezien niet-naleving van contracten een directere impact zal hebben op de bedrijfsvoering dan eventuele NIS2-gerelateerde tekortkomingen ten aanzien van het CCB.

Maak gebruik van de beschikbare middelen en begeleiding

Het Belgische Centrum voor Cybersecurity (CCB) en het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA) bieden richtlijnen, kaders en middelen zoals via de ‘CyberFundamentals’ om bedrijven te helpen voldoen aan NIS2. Probeer niet het wiel opnieuw uit te vinden of ingewikkelde modellen te gebruiken. Profiteer van deze materialen om uw nalevingsinspanningen te versnellen.

Focus op de lange termijn: het opbouwen van een duurzaam cyberbeveiligingsprogramma

Nu de NIS2-nalevingsdeadline snel nadert, moeten bedrijven snel handelen. Zoals eerder vermeld zijn belangrijke acties onder meer het uitvoeren van een gap-analyse, het verbeteren van de mogelijkheden voor incidentrespons, het beveiligen van uw toeleveringsketen en het bijwerken van governancestructuren.  Door prioriteit te geven aan deze acties, kan uw organisatie haar cyberbeveiligingshouding aanzienlijk verbeteren en de gevolgen van niet-naleving voorkomen.

Door te focussen op essentiële acties op korte termijn, kan uw organisatie betekenisvolle vooruitgang boeken. Daarnaast zal een gefaseerde, langetermijnaanpak voor het opbouwen van een volwassen cyberbeveiligingsprogramma zorgen voor duurzame naleving en de veerkracht.

De rol van technologie bij NIS2-compliance

Betaalbare tools zoals open-source software, cloudgebaseerde monitoring en basisrisicobeheerplatforms kunnen taken zoals het scannen op kwetsbaarheden en het detecteren van incidenten automatiseren, waardoor handmatige inspanningen worden verminderd en de nalevingskosten worden verlaagd. Deze oplossingen moeten echter worden ondersteund door sterk beleid, processen en een goed opgeleid team.

Geen wondermiddelen voor naleving

Begrijp wel dat er geen ‘silver bullet’ of wonderoplossing is die jouw organisatie van de ene op de andere dag compliant maakt. NIS2 gaat over een attitude en houding die ervan uitgaat dat een organisatie doet wat ze moet en kan doen, zowel om incidenten te voorkomen, als om ze correct af te handelen als er zich toch een voordoet. Technologische oplossingen moeten worden aangevuld met sterke beleidslijnen, processen en opgeleid personeel, en rekening houden met het grotere geheel van uw omgeving.

Bron: Grant Thornton

» Bekijk alle artikels: IT & IP

Boeken in de kijker: