Samen met 2 IBM experts naar het woord sparren we even over de impact van NIS2 en de deadline van oktober 2024. Uit onze laatste 30 dossiers blijkt duidelijk dat de hackers nog vriendelijk zijn voor de KMO’s. We dringen aan dat bedrijven en hun ICT toeleveranciers onze “Zero Trust Mindset” adopteren. De NIS2 directive is zeer streng voor ICT toeleveranciers voor essentiële bedrijven. In weze zijn dit de bedrijven die ook tijdens de lockdown dienstverlening moesten verzekeren. Een juiste mindset en sturing en certificatie kan voor een IT reseller het verschil betekenen tussen de laptops leveren voor de grootmoeders of diensten verlenen aan Essentiele bedrijven. De regelgeving spreekt duidelijk taal:
Artikel 86 NIS2
(86) Onder de dienstverleners spelen aanbieders van beheerde beveiligingsdiensten op het gebied van bijvoorbeeld incidentrespons, penetratietesten, beveiligingsaudits en consultancy een bijzonder belangrijke rol in het bijstaan van entiteiten bij hun inspanningen om incidenten te voorkomen, op te sporen, erop te reageren en ervan te herstellen. Aanbieders van beheerde beveiligingsdiensten zijn echter ook zelf het doelwit van cyberaanvallen geweest en vormen een bijzonder risico vanwege hun nauwe integratie in de activiteiten van de entiteiten. Essentiële en belangrijke entiteiten moeten daarom nog meer zorgvuldigheid betrachten bij de selectie van een aanbieder van beheerde beveiligingsdiensten.
De ICT supplier kan certificeren doch dit geeft geen parlementaire onschendbaarheid…..De tekst geeft duidelijk aan:
L 333/136-5-a De Nationale wetgever dient ervoor te zorgen dat bij een ernstige fout de certificering of vergunning tijdelijk wordt opgeschort of een certificerings- of vergunningsinstantie of een rechterlijke instantie overeenkomstig het nationale recht verzoeken de activiteiten tijdelijk op te schorten met betrekking tot alle of een deel van de relevante door de essentiële entiteit verleende diensten of verrichte activiteiten;