NIS2, een echte start… maar ongelijkmatig en vaak ontoereikend
Hoewel veel organisaties NIS2 hebben ‘omarmd’, voldoet het merendeel nog niet aan het verwachte niveau voor robuuste en duurzame naleving, aldus Fabrice Hecquet, CEO van CyberXpert. Balans na een jaar.
“Verschillende onderzoeken en rapporten tonen aan dat de werkzaamheden – inventarisaties, governance, teams en eerste actieplannen – weliswaar van start zijn gegaan, maar dat een aanzienlijk deel van de organisaties nog niet ‘klaar’ is in de zin van volledige naleving.”
Volgens studies ligt het gemiddelde voorbereidingsniveau rond de 50 à 60% voor de belangrijkste controles, wat neerkomt op een aanzienlijke kloof tussen de geleverde inspanningen en het vereiste niveau. Zo heeft Aon een gemiddeld voorbereidingsniveau van ongeveer 58% gemeten voor een reeks kritieke maatregelen.
“Na een jaar zijn we nog ver verwijderd van volledige naleving en ook nog ver verwijderd van een duurzame houding op alle vlakken – governance, incidentbeheer, tests, toeleveringsketen, documentatiebewijs”, aldus Fabrice Hecquet. Het werk dat nog moet worden gedaan, is vooral organisatorisch: governance, contracten, rapportage. En menselijk: vaardigheden, changelog.
De klok dwingt tot versnelling
NIS2 heeft het cybersecuritytraject van bedrijven duidelijk op zijn kop gezet: de activering van de verplichtingen heeft geleid tot concrete projecten en budgetten, maar de voortgang blijft ongelijk. De uitdagingen zijn niet alleen technisch van aard, maar hebben vooral te maken met governance, financiering, vaardigheden en coördinatie met derden.
In België vergemakkelijken de aanwezigheid van een pragmatisch nationaal referentiekader (CyFun) en de actieve rol van het CCB de start, maar de klok die tikt naar de deadlines van 2026-2027 dwingt tot versnelling. “Bedrijven die hun governance en prioritering nog niet hebben gestructureerd, lopen een reëel risico op overbelasting of non-conformiteit in de komende 12-24 maanden”, waarschuwt Fabrice Hecquet.
De uitdagingen voor de toekomst
Naarmate de deadlines naderen, zal er een groot aantal evaluaties plaatsvinden, waardoor de audits zullen worden geïntensiveerd. De robuustheid en kwaliteit van de audits zullen cruciaal zijn om de geloofwaardigheid van de aanpak te waarborgen. De druk van de regelgeving zal alleen maar toenemen. Het CCB en de sectorale autoriteiten zouden kunnen overschakelen naar een meer repressieve houding, met name in geval van ernstige incidenten of duidelijke niet-naleving van de verplichtingen.
“Pas op voor domino-effecten op de waardeketens”, waarschuwt Fabrice Hecquet. Zelfs ‘belangrijke’ of niet-belangrijke entiteiten binnen het toepassingsgebied kunnen te maken krijgen met nalevingsvereisten van hun klanten, vaak essentiële entiteiten. Dit leidt tot een verspreiding van de NIS2-aanpak naar het hele ecosysteem, of op zijn minst tot de mogelijkheid om de cyberrobuustheid van de toeleveringsketen aan te tonen.
Afwijkingsbalansen: “checked “
Het is duidelijk dat de rapportage en het toezicht zullen worden versterkt. Documentcontrole, controleerbaarheid, traceerbaarheid en veiligheidsmaatstaven zullen volwaardige beoordelingscriteria worden. Bedrijven zullen hun interne functie (veiligheidsverantwoordelijke, compliance-team, permanente opleiding) moeten versterken om de opvolging, evaluatie en voortdurende verbetering op zich te nemen.
Gelukkig hebben veel bedrijven al een GAP-analyse of afwijkingsbalans uitgevoerd. Dit gebeurde met behulp van de zelfbeoordelingstool die door het CCB is opgezet. Of door een beroep te doen op gespecialiseerde externe bedrijven.
Een strak tijdschema en zware maatregelen
Veel entiteiten zullen tegen 2026 het niveau “Basic” of ‘Important’ bereiken, maar alleen de meest volwassen entiteiten zullen in staat zijn om binnen de gestelde termijn het niveau “Essential” te bereiken, voorspelt Fabrice Hecquet. “Essentiële entiteiten zouden hun leveranciers of partners – zelfs als die aanvankelijk niet onderworpen waren – nalevingsvereisten kunnen opleggen, waardoor de verspreiding van het NIS2-kader in het ecosysteem wordt versneld.”
De referentiekaders (CyFun, ISO-normen, NIST) zullen evolueren om feedback uit de praktijk, technologische vooruitgang (AI, IoT, OT) en opkomende bedreigingen te integreren. Er is trouwens net een update van CyFun gepubliceerd.
Bedrijven zullen cyberbeveiliging steeds meer gaan beschouwen als een strategische pijler die verband houdt met veerkracht, bedrijfscontinuïteit, gegevensbescherming en wettelijke aansprakelijkheid, en niet langer als een technische silo.
NIS2, een beleid van verandering
Sommige controles zijn complex om te implementeren. De meest complexe en kostbare “Essential”-controles van CyFun zijn die welke betrekking hebben op governance, identiteitsbeheer, continuïteit en de toeleveringsketen. Ze vereisen meerjarige projecten, een aanzienlijke investering en een interdepartementale mobilisatie (IT, HR, juridische dienst, aankopen, directie).
“Als we de controle over de toeleveringsketen in een bedrijf met honderden derde partijen overnemen, vereist de implementatie van deze controles de toepassing van een echt beleid van verandering”, vervolgt Fabrice Hecquet. We moeten ze kunnen classificeren in termen van risico’s (welke derde partijen vormen het grootste risico voor de activiteiten van het bedrijf) en economische impact (als ze niet aan de minimumgaranties voldoen)…” De spelers in een toeleveringsketen kunnen namelijk variëren van Ali Express tot Microsoft, via de telecomleverancier en de dienstverlenende bedrijven die toegang hebben tot het informatiesysteem.
Een duidelijk tempo
Een jaar na de inwerkingtreding van het NIS2-kader in België zijn de vorderingen veelbelovend, maar nog onvolledig. Veel bedrijven zijn op de trein gesprongen: registratie, eerste diagnoses, gedeeltelijke implementatie van maatregelen. Toch zijn er maar weinig die al volledig en gecontroleerd conform zijn.
“Er zijn tal van obstakels: middelen, vaardigheden, governance, toeleveringsketen, sectorale technische beperkingen. Het Belgische kader biedt een voordeel met het CyFun-referentiekader en de bijbehorende tools, maar dat ontslaat ons niet van een reële, gestructureerde en aanhoudende inspanning.”
Voor Fabrice Hecquet leggen de deadlines van april 2026/2027 een duidelijk tempo op: organisaties moeten nu vaart maken, hun aanpak structureren, prioriteiten stellen en er ten slotte voor zorgen dat conformiteit niet wordt gezien als een oppervlakkige “checklist”, maar als een duurzame houding van cyberweerbaarheid.
