Met de komst van de NIS2-richtlijn is het speelveld voor cybersecurity in onze regio drastisch veranderd. Er zijn elf nieuwe kritieke sectoren toegevoegd, waardoor het aantal gereguleerde entiteiten aanzienlijk is uitgebreid. Als gevolg hiervan zal NIS2 nu naar schatting betrekking hebben op tussen de 160.000 en 180.000 bedrijven in de EU. IT-teams en Managed Service Providers (MSP’s) staan voor de uitdaging om aan de strenge eisen te voldoen, vooral in de nieuwe sectoren. Organisaties moeten er immers op tijd klaar voor zijn. General Manager, EMEA and SVP, Global Sales Andre Schindler van NinjaOne legt aan ons uit wat er moet gebeuren.

De essentie van NIS2 is duidelijk. Het moet het voor cybercriminelen moeilijker maken om schade aan te richten binnen vitale sectoren zoals energie, gezondheidszorg, transport en digitale infrastructuur. Maar de reikwijdte gaat verder dan deze sectoren. Bedrijven die samenwerken met deze vitale organisaties moeten ook hun securitymaatregelen op orde hebben. De hele toeleveringsketen moet het securityniveau verhogen om de hele regio weerbaarder te maken. Volgens NinjaOne breidt dit de ondersteunende rol van IT-teams en MSP’s uit naar een bredere, rigoureuzere benadering van securitybeheer.

De NIS2-richtlijn is sinds oktober 2024 van kracht in de EU. Landen zouden de richtlijn idealiter moeten hebben omgezet in hun eigen wetgeving. In Nederland is dat nog niet gelukt. Volgens de laatste updates zal de Cybersecuritywet die voortvloeit uit NIS2 in het derde kwartaal van 2025 in werking treden.

Strengere regels, hogere verwachtingen

Andre Schindler, General Manager, EMEA and SVP, Global Sales bij NinjaOne

Wat NIS2 uniek maakt, is de combinatie van strengere eisen en uitgebreide verantwoordelijkheden. Organisaties zijn verplicht om incidenten binnen 24 uur te melden, met een gedetailleerd rapport binnen 72 uur. Daarnaast moeten bedrijven duidelijke risicobeoordelingen uitvoeren en hun beleid hierop aanpassen. Voor MSP’s, die vaak als verlengstuk van hun klanten opereren, betekent dit een dubbele verantwoordelijkheid: enerzijds het eigen huis op orde brengen en anderzijds klanten ondersteunen bij hun compliance.

Het vereist ook meer betrokkenheid op directieniveau. Cybersecurity is niet alleen een probleem voor de IT-afdeling, maar ook een vereist aandachtsgebied voor leidinggevenden. De aansprakelijkheidsregels zijn aangescherpt, wat betekent dat C-level executives aansprakelijk kunnen worden gesteld als het bedrijf niet voldoet aan de voorgeschreven verplichtingen op het gebied van cybersecurity. Dit legt de lat voor governance en verantwoording hoger. MSP’s kunnen hierin een cruciale rol spelen door naast technische oplossingen ook strategisch advies te bieden. Ze moeten helpen bij het ontwikkelen van beleid en processen die voldoen aan de NIS2-eisen én bijdragen aan een bredere visie op cybersecurity binnen organisaties.

Van compliance naar veerkracht

NIS2 dwingt organisaties uiteindelijk om opnieuw na te denken over hun weerbaarheid in een steeds complexer bedreigingslandschap. Dit vereist een verschuiving van reactieve security naar proactief risicomanagement. IT-teams moeten verder kijken dan traditionele tools en processen en investeren in technologieën die continuïteit garanderen. Hetzelfde geldt voor MSP’s.

Automatisering speelt hier een belangrijke rol, ziet NinjaOne. Tools kunnen helpen bij het centraliseren van de zichtbaarheid, het automatiseren van patchbeheer en het implementeren van consistente securitymaatregelen op alle apparaten. Met geautomatiseerde patching beschikken apparaten binnen de organisatie over de nieuwste securityfixes. Daardoor verkleint het aanvalsoppervlak. “Realtime monitoring en waarschuwingsmogelijkheden helpen bij het snel detecteren en aanpakken van verdachte activiteiten, zodat teams kunnen reageren op potentiële bedreigingen voordat ze escaleren”, legt Schindler uit.

Bij NinjaOne combineert men de securitymogelijkheden voor endpoints met detectie- en responsoplossingen van SentinelOne of CrowdStrike. Hierdoor kunnen IT-teams sneller reageren op incidenten en risico’s minimaliseren, precies waar de NIS2-richtlijn om vraagt. Extra stappen om de compliance te verbeteren zijn asset management, reporting en backups. Volgens NinjaOne biedt het consolideren van al deze zaken op één platform aanzienlijke voordelen voor het aanpakken van securityrisico’s en het voldoen aan de normen van NIS2.

MSP’s als strategische partners

De rol van MSP’s verandert drastisch met NIS2. Waar ze voorheen vooral operationele ondersteuning boden, wordt nu van ze verwacht dat ze optreden als strategische partners. Transparantie is in dit geval cruciaal. Door klanten tijdig te informeren over nieuwe vereisten en samen te werken aan oplossingen, bouwen MSP’s vertrouwen op en versterken ze hun positie in de markt. Bedrijven kijken niet langer alleen naar MSP’s voor het leveren van technologie, maar ook voor training en ondersteuning. Dit om volledig te begrijpen wat er nodig is om compliant te zijn.

De rol van MSP’s en klanten groeit zo meer uit tot een gedeelde verantwoordelijkheid. MSP’s helpen klanten bij het maken van incidentresponsplannen. Ook ondersteunen ze bij het testen van deze plannen. Regelmatige herzieningen en updates van securitystrategieën zijn essentieel om te voldoen aan de vereisten van de richtlijn en om voorbereid te zijn op de snel veranderende aard van cyberbedreigingen.

Bovendien worden MSP’s nu geclassificeerd als een kritieke sector. Daardoor vallen ze direct onder de regelgeving van NIS2 als ze de gespecificeerde drempels voor het aantal werknemers en de jaarlijkse omzet overschrijden. Ze moeten aantonen dat hun interne securitymaatregelen voldoen aan de strenge eisen van de richtlijn. Dit betekent dat ze moeten investeren in hun eigen cybersecurity-infrastructuur en best practices voor risicobeheer moeten implementeren. MSP’s kunnen hierin uitblinken door mogelijk eigen compliance-oplossingen aan te bieden die hun klanten onmiddellijk kunnen implementeren. Tot slot zullen MSP’s met een sterke cybersecuritybasis gemakkelijker kunnen voldoen aan NIS2 en kunnen ze profiteren van de nieuwe zakelijke kansen.

Het belang van een holistische aanpak

Naleving van NIS2 vereist een holistische aanpak van cybersecurity, waarbij men de technische infrastructuur versterkt en de cybersecuritycultuur herziet. Medewerkers worden idealiter getraind om te begrijpen hoe hun dagelijkse werkzaamheden bijdragen aan de algehele systeembeveiliging. Dit moet een strategisch onderdeel worden van de bedrijfsvoering. MSP’s kunnen daar een rol in spelen door middel van bewustwordingscampagnes en trainingen die werknemers helpen begrijpen hoe ze risico’s kunnen herkennen en voorkomen. Door een gedeelde verantwoordelijkheid voor cybersecurity te creëren, vergroten MSP’s hun waarde voor klanten en dragen ze tegelijkertijd bij aan een veiligere digitale omgeving.

NIS2 biedt IT-teams en MSP’s zowel uitdagingen als kansen. Naleving vereist zowel technische aanpassingen als een fundamentele verandering in de manier waarop organisaties tegen security aankijken. Door samen te werken en tools en strategieën te gebruiken, kunnen IT-teams en MSP’s voldoen aan de vereisten van NIS2 en een basis leggen voor een toekomstbestendige beveiligingsstrategie.