Cybersecurity is een hot topic. Dagelijks worden bedrijven en particulieren getroffen door digitale oplichting of hacking. De nieuwe NIS2-richtlijn verplicht bedrijven hun weerbaarheid te vergroten door de cyberbeveiliging van netwerk- en informatiesystemen te versterken. Zijn bedrijven hier voldoende op voorbereid? En zijn medewerkers bewust en voldoende geïnformeerd over de risico’s op het internet? Matthias Wens, Manager Risk Advisory bij BDO, en Manon Vandebergh, COO bij Phished, beantwoorden deze vragen.
De NIS2-richtlijn is ondertussen een jaar van kracht in België, maar bedrijven hebben nog tot april 2026 of april 2027 om zichzelf voor te bereiden en te voldoen aan de nieuwe richtlijnen. In deze race neemt België het voortouw volgens Matthias. “België heeft in vergelijking met andere Europese landen die regelgeving snel vertaald naar een wettekst. Dat doen ze op basis van het CyFun-framework van de CCB, dat niet enkel focust op de technische maatregelen, maar ook op cultuur, risk management en governance.”
Maar het einde is nog lang niet in zicht, vertelt Manon: “Heel wat Belgische bedrijven en hun leveranciers voldoen nog niet aan de nieuwe NIS2-regelgeving. CEO’s en management zijn zich onvoldoende bewust van de maatregelen die door NIS2 worden opgelegd, en zelfs nog minder van de sancties wanneer deze niet worden nageleefd.”
De sancties liegen er niet om. Wie zich na de deadline niet aan de nieuwe richtlijnen houdt, riskeert torenhoge boetes, onaangekondigde audits en mogelijk zelfs een schorsing van het management. “Daarom verplicht NIS2 managers en Raden van Bestuur om een cybersecuritytraining te volgen, zodat ze op de hoogte zijn van de te nemen maatregelen en verplichtingen. De tijd waarin het management de verantwoordelijkheid kon doorschuiven naar IT is voorbij”, klinkt het.
“Eigenlijk zijn we het stadium van bewustwording al lang voorbij”, gaat Manon verder. “Mensen lezen dagelijks in de krant hoe bedrijven of particulieren slachtoffer worden van hacking of phishing. Ze weten dat het risico bestaat en dat het groot is.”
Volgens Manon en Matthias is het daarom belangrijker om in te zetten op betrokkenheid en cybersecuritytraining. “Wetenschappelijk onderzoek toont aan dat de klassieke anti-phishing training waarbij testmails verzonden worden en medewerkers na één foute klik een cybersecuritytraining krijgen, nagenoeg geen effect heeft”, vertelt Manon. “Daarom werken we met een holistische cybersecurityaanpak die interactief aan de slag gaat met de gebruikers van onze Phished Academy.”
“We gebruiken wel phishingsimulaties om risicogroepen en -gebruikers in kaart te brengen”, verduidelijkt ze. “Deze personen krijgen dan individuele training, afhankelijk van hun risicoprofiel.”
“Het succes meten van de maatregelen rond cybersecurity doe je aan de hand van het aantal incidenten”, licht Matthias toe. “Als er zich geen incidenten voordoen en werknemers echte phishingmails correct rapporteren, kan je besluiten dat je bewustwordingsprogramma zijn vruchten afwerpt. Bijkomend is het belangrijk om de trends binnen het bewustwordingsprogramma te meten gedurende een langere periode. Zijn de fouten die gemaakt worden eenmalig of wederkerend? Hoeveel procent van de werknemers heeft die fout gemaakt? Alleen zo zorg je ervoor dat de belangrijkste risico’s meteen aangepakt kunnen worden.”
Phished beloont de medewerkers van hun klanten na cybertrainingen om het effect van hun sessies te meten: “Aan het einde van de trainingssessie testen we de cyberkennis van de medewerkers. Momenteel ligt de cursistenrating op 4,7 op 5, een enorm succes dus. Na de test reiken we certificaten uit aan medewerkers. Die geven hen niet enkel een gevoel van persoonlijke verwezenlijking, maar maken ook deel uit van de documentatie die bedrijven moeten voorleggen om te bewijzen dat ze voldoen aan de NIS2-regelgeving.”
Tot slot waarschuwen Manon en Matthias voor de typische blinde vlekken binnen organisaties. “De meeste bedrijven denken dat een hack hen nooit zal overkomen. De realiteit toont echter aan dat het niet langer een kwestie is van of maar van wanneer. Bedrijfsleiders moeten cybersecurity naar zich toe trekken en minstens twee keer per maand met hun IT-team aan tafel zitten om hun cyberveiligheid te blijven versterken”, besluit Manon.
Tot slot benadrukt Matthias het belang om andere systemen mee te nemen in cybersecurity: “Naast IT is het belangrijk om IoT en OT-systemen mee te nemen in je cybersecuritybeleid, aangezien deze systemen vaak aan het netwerk gekoppeld zijn”, besluit hij. “Alleen zo ben je volledig weerbaar tegen cyberaanvallen.”
Verdoe jij ook te veel tijd met het opvolgen van alle nieuwtjes in je feed? No worries, wij verzamelen alles wat nieuw is in de finance wereld. Al die nieuwtjes komen wekelijks in jouw mailbox terecht.
