Zo maak je cybersecurity bestuurbaar (en aantoonbaar)
Voor veel KMO’s voelt NIS 2 als een extra compliance-oefening. In werkelijkheid draait de richtlijn om iets eenvoudigers: kan je aantonen dat je de cyberrisico’s binnen je organisatie kent, beheerst en opvolgt?
NIS 2 verwacht duidelijke verantwoordelijkheid op directieniveau, snelle incidentrapportering en aantoonbare effectiviteit van je maatregelen. Geen map met documenten die niemand gebruikt, maar een werkbaar proces.
Dit artikel vat een webinar samen waarin Cingulum, Nomios en Refracted Security samenwerken om de zes kernfuncties van NIS 2 te bundelen: Governance, Identify, Protect, Detect, Respond en Recover.
1. Governance: cybersecurity wordt een bestuursverantwoordelijkheid
Het grootste verschil met de klassieke security-aanpak, is dat cyber security niet langer alleen een IT-verhaal is. NIS 2 verwacht dat de directie betrokken is bij risicokeuzes, prioriteiten, budgetten en opvolging. Bestuurders hoeven geen technische experts te worden, maar moeten wel het eigenaarschap opnemen van de risicobereidheid van de organisatie.
Ook incidentrapportering wordt een formele verplichting. Bij ernstige incidenten gelden vaste meldmomenten: binnen 24 uur moet een eerste waarschuwing gebeuren, binnen 72 uur volgt een formele melding en binnen één maand een eindrapport met root causes en corrigerende maatregelen. Dat betekent dat detectie, escalatie en communicatie vooraf georganiseerd moeten zijn.
Compliance op papier volstaat daarbij niet meer. ISO 27001 of CyberFundamentals vormt een sterk beleidskader, maar NIS 2 focust vooral op aantoonbare werking. Organisaties moeten kunnen bewijzen dat risico’s actief worden opgevolgd, maatregelen effectief werken en incidenten getest en geëvalueerd worden.
KMO’s vragen zich dan vaak af: “Is dit niet te zwaar? Moet ik een risk framework bouwen? Moet alles gedocumenteerd worden?” En dit allemaal vaak met kleinere budgetten en/of een klein team. Het goede nieuws: nee, governance hoeft niet zwaar te zijn.
De meest praktische aanpak is om te starten met een governanceritme dat past bij de snelheid van een KMO: geen jaarlijkse managementreview waar alles in één keer wordt doorgenomen, maar een maandelijks overleg van 45 minuten waarin beslissingen en opvolging een vast ritme krijgen.
Om dat ritme te laten werken, helpt het om verantwoordelijkheden duidelijk te verdelen. Een werkbare structuur voor KMO’s werkt op drie lijnen:
- Lijn 1: strategische lijn (directie of zaakvoerders) Zij zijn eigenaar van de risicobereidheid: wat is aanvaardbaar, wat niet, en welke budgetten horen daarbij? Ze keuren het actieplan goed en volgen de voortgang op.
- Lijn 2: tactische lijn (security lead / IT-verantwoordelijke / externe partner) Deze rol bouwt en beheert het risicoregister, bereidt beslissingen voor en coördineert de rapportering bij incidenten.
- Lijn 3: operationele lijn (proceseigenaars) Zij kennen de assets en leveranciers binnen hun domein, passen maatregelen toe en melden incidenten of afwijkingen.
Op die manier is information security niet langer alleen een IT-verhaal. De processen in het bedrijf dragen mee verantwoordelijkheid, en dat is ook wat NIS2 verwacht.
2. Identify & Protect: Bescherm wat je kent
Je kunt niet beschermen wat je niet kent. Toch blijken bij veel KMO’s nog altijd ongekende toestellen, oude accounts, standaardwachtwoorden of vergeten externe toegangen aanwezig te zijn. Bij één organisatie werden bijvoorbeeld meer dan 4.500 verbonden toestellen ontdekt terwijl men dacht dat het er ongeveer 1.500 waren. Het probleem zit daarbij niet alleen in het aantal systemen, maar vooral in ongecontroleerde toegang.
Een goede aanpak start daarom met zichtbaarheid. Organisaties moeten weten welke servers, werkplekken, printers, IoT-toestellen, externe diensten en accounts actief zijn en welke impact een incident kan hebben.
Daarna komt toegangsbeheer. Identity & Access Management blijft één van de belangrijkste basismaatregelen binnen NIS 2. Unieke accounts, correcte onboarding en offboarding, automatische verwijdering van toegangsrechten en MFA activeren waar mogelijk: het zijn geen extra’s meer, maar minimale verwachtingen.
Beheerderstoegang verdient extra aandacht. Adminaccounts zijn vaak de snelste route naar een totaal gecompromitteerde omgeving. Daarom verwacht NIS 2 dat organisaties werken zonder gedeelde adminaccounts, met tijdelijke toegang, logging van beheersessies en externe toegang die beperkt blijft tot specifieke applicaties.
3. Detect, Respond & Recover: niet alleen zien, maar ook handelen én herstellen
Detectie zonder opvolging heeft weinig waarde. Gemiddeld is een aanvaller ongeveer 200 dagen aanwezig in de systemen van een organisatie voor hij ook effectief toeslaat. In veel gevallen zijn signalen wel zichtbaar, maar worden ze niet correct geïnterpreteerd of opgevolgd. Denk aan logboeken waar niemand naar kijkt, phishingincidenten die niet gemeld worden of ransomware die weken ongemerkt actief blijft.
Traditionele antivirussoftware alleen volstaat daarom niet meer. EDR en gedragsanalyse maken het mogelijk om verdachte processen, afwijkende communicatie en ongewoon gedrag sneller te herkennen en systemen automatisch te isoleren wanneer nodig.
Toch weet je pas of detectie en response echt werken wanneer je ze test. Pentests tonen welke kwetsbaarheden effectief misbruikt kunnen worden, terwijl cyber resilience tests nagaan hoe snel een organisatie een aanval detecteert en hoe procedures reageren onder druk. Voor veel KMO’s is een extern Managed SOC daarbij de meest haalbare oplossing om permanente, ononderbroken monitoring en triage te organiseren.
Het verschil tussen een beheersbaar incident en een crisis zit meestal niet in technologie, maar in voorbereiding. Goede responseprocessen zorgen ervoor dat incidenten snel worden geanalyseerd, contained en opgevolgd voordat de impact escaleert.
Daarnaast verwacht NIS 2 ook aandacht voor herstelcapaciteit. Recover draait om gecontroleerd herstel van systemen en processen via betrouwbare, geteste back-ups en duidelijke business continuity processen. Een back-up die nooit getest werd, is geen herstelstrategie.
Ook de meldplicht vraagt voorbereiding. Organisaties moeten vooraf weten welke systemen geraakt kunnen zijn, wie communiceert, hoe informatie verzameld wordt en welke juridische communicatie nodig is. Daarom blijven tabletop-oefeningen en crisismanagementsimulaties essentieel. Een plan dat nooit getest werd, is geen plan.
4. Wat kan je vandaag concreet doen?
Je hoeft niet alles tegelijk op te lossen. De kunst is prioriteren: een beperkt aantal risico’s inperken met een beperkte set maatregelen, maar wel met duidelijke verantwoordelijkheden en deadlines.
- Benoem één eigenaar. Start niet met beleidsdocumenten, start met verantwoordelijkheid. Zonder eigenaar wordt cyber security een IT-probleem. Met een eigenaar wordt het een bestuurbaar bedrijfsrisico.
- Maak een korte lijst van kritieke processen en assets. Beperk je tot 3 tot 5 kritieke processen en 5 tot 10 cruciale leveranciers.
- Activeer MFA waar mogelijk. Multifactor authenticatie het risico op gestolen toegangsgegevens drastisch.
- Controleer op oude en/of ongebruikte accounts. Kijk specifiek naar oude accounts, ex-medewerkers, gedeelde accounts en ongecontroleerde beheerderstoegang.
- Beperk en log externe toegang. Vermijd toegang op netwerkniveau. Werk op applicatieniveau en log alles.
- Activeer logging, monitoring en EDR. Maar koppel dit aan een procedure: iemand moet erop reageren.
- Test je detectie en response. Start kleinschalig met een pentest of tabletop, en schaal op naar een cyber resilience test of Managed SOC.
Begin vandaag. Prioriteer, organiseer eigenaarschap, breng assets en toegang in kaart, en test je detectie en response. Zo ga je voorbij de theorie en bouw je aan cyber resilience die werkt wanneer het echt telt.
