Naar hoofdinhoud gaan

      De NIS2-richtlijn (Network and Information Security Directive) is sinds 18 oktober 2024 van kracht in Europa. De richtlijn heeft als doel heeft de cyberweerbaarheid van cruciale organisaties en hun toeleveringsketens te versterken, in een tijd waarin digitale dreigingen en cyberaanvallen steeds complexer en ingrijpender worden.

      Voor Vlaamse agentschappen en publieke instellingen betekent NIS2 een nieuw tijdperk van strengere cybersecurityverplichtingen en toezicht. Zo geldt een meldplicht: ernstige incidenten moeten binnen 24 uur worden gerapporteerd. Daarnaast moeten organisaties een geïntegreerde risicoanalyse uitvoeren die de hele organisatie én de volledige keten in kaart brengt. Niet-naleving kan leiden tot aanzienlijke sancties.

      Het systematisch verzamelen en analyseren van securitydata is daarbij onmisbaar. Deze data leveren inzichten en managementinformatie waarmee CIO’s en CISO’s de naleving van NIS2 kunnen onderbouwen én tijdig kunnen bijsturen.

      Cybersecurity verschuift zo van een technische opdracht naar een strategische kernverantwoordelijkheid voor bestuur en management. In de praktijk vertaalt zich dit in een aantal concrete verplichtingen en stappen die organisaties moeten nemen om digitale weerbaarheid te versterken.

      Meldplicht: snelle melding van incidenten

      Onder NIS2 geldt voor essentiële en belangrijke entiteiten een strikte meldplicht. Een significant cyberincident moet binnen 24 uur na ontdekking worden gemeld bij de toezichthouder. Deze korte termijn is een belangrijke verscherping van eerdere regels.

      Binnen 72 uur moet extra informatie worden aangeleverd, en binnen 30 dagen volgt een volledig incidentrapport. Deze korte termijnen vragen om een snelle detectie en transparante rapportering van elk incident.

      Met behulp van cyberanalytics-tools, zoals geautomatiseerde log- en SIEM-systemen, kan een organisatie verdachte activiteit direct detecteren en documenteren, zodat de vereiste meldingen tijdig en volgens procedure verlopen.

      Volledig risicoprofiel inclusief derde partijen

      De NIS2-richtlijn benadrukt dat cybersecurityrisico’s niet stoppen bij de eigen organisatie: ook leveranciers, dienstverleners en andere derde partijen vormen een potentieel risico. Organisaties moeten daarom een holistisch beeld hebben van alle externe partijen die cruciaal zijn voor hun dienstverlening en de continuïteit van hun systemen.

      Voor organisaties betekent dit dat ze zicht moeten hebben op de netwerken, applicaties en processen van externe partners en dat die drie regelmatig geëvalueerd moeten worden op beveiligingsrisico’s.

      Cyberanalytics speelt daarrin een sleutelrol Door continu data te analyseren, bijvoorbeeld via leverancierslogs, securityscores, inkoopdata of externe audits en certificeringen, worden kwetsbaarheden vroegtijdig zichtbaar.

      Door deze gegevens centraal te verzamelen en te analyseren, ontstaat een compleet risicoprofiel van de organisatie inclusief alle derde partijen. Dit maakt het mogelijk om kwetsbare schakels in de toeleveringsketen proactief aan te pakken voordat ze tot incidenten leiden, waardoor zowel compliance als digitale veerkracht aanzienlijk wordt versterkt.

      Proactieve sturing: digitale weerbaarheid voorop

      De Vlaamse overheid legt sterk de nadruk op digitale weerbaarheid als strategisch doel. Met de komst van NIS2 worden organisaties verplicht om cybersecurity op bestuursniveau te verankeren en structureel te organiseren. Dat betekent dat digitale veiligheid niet langer gezien kan worden als een louter operationele IT-kwestie, maar als een strategisch thema dat de hele organisatie raakt. Er is dus nood aan een bredere, proactieve aanpak die verder gaat dan het enkel reageren op incidenten en die ook preventie, monitoring en ketenrisico’s omvat.

      Met cyberanalytics kunnen ze bijvoorbeeld gestructureerde stresstesten uitvoeren, dreigingsscenario’s modelleren en periodieke datarapportages opstellen. Zo ontstaat bestuurlijke stuurinformatie op basis van feiten en trends in plaats van aannames.

      Een dergelijk proactief beleid betekent dat kwetsbaarheden vroegtijdig opgespoord en opgelost kunnen worden, nog voordat ze leiden tot storingen. Het versterkt de wendbaarheid van de organisatie: in plaats van achter incidenten aan te lopen, bepaalt u zelf de koers naar een sterkere security.

      Cyberanalytics: overzicht, auditsporen en onderbouwde besluitvorming

      Een datagedreven aanpak is cruciaal voor continue rapportering en sturing. De Vlaamse Strategie Informatieveiligheid benadrukt dat overheidsorganisaties via zelfevaluaties en dashboards permanent inzicht moeten bieden in hun beveiligingsniveau. Moderne securityplatformen en SIEM-systemen genereren uitgebreide loggegevens en kernindicatoren, zoals inbraakpogingen, patchstatussen en incidenten. Door deze informatie te consolideren in duidelijke dashboards ontstaat een actueel overzicht van de beveiligingsstatus en kan je de indicatoren real-time opvolgen.

      Cyberanalytics – het gericht analyseren van beveiligingsdata – vormt daarbij het fundament. Door gedetailleerd te loggen wie, wanneer, welk systeem of bestand aanraakt, ontstaat een volledig auditspoor. Dat maakt het mogelijk om incidenten precies te reconstrueren en te rapporteren, in lijn met de NIS2-documentatieverplichtingen.

      Daarbij is het van belang om de juiste metrics te definiëren: meetpunten die echt iets zeggen over digitale weerbaarheid. Denk aan systeem­beschikbaarheid, tijd tot herstel, aantal kritieke kwetsbaarheden of leveranciersrisico’s. Door hier thresholds aan te koppelen (bijvoorbeeld: meer dan vijf openstaande kritieke kwetsbaarheden = rood) wordt meteen zichtbaar wanneer actie vereist is.

      Een centrale bewaarplaats voor indicatoren bundelt al deze gegevens en zorgt voor uniformiteit. Zo kan elke indicator automatisch worden gemonitord, kunnen rapportages eenvoudig worden samengesteld en zijn auditsporen volledig traceerbaar.

      Dashboards maken het vervolgens mogelijk om in één oogopslag te zien of risico’s toenemen of afnemen, en bieden kant-en-klare rapportages voor het management. Beleidsverantwoordelijken en toezichthouders krijgen hierdoor direct inzicht in nalevingsgraad en actuele risico’s, terwijl auditors en externe partijen steeds over betrouwbare informatie beschikken. Op die manier ondersteunen dashboards en metrics niet alleen de operationele opvolging, maar ook de strategische sturing en verantwoording binnen de digitale overheid.

      Van richtlijn naar praktijk: een stapsgewijze aanpak

      De NIS2-richtlijn legt duidelijke verplichtingen op, maar de vertaalslag naar de dagelijkse praktijk vraagt om een gestructureerde aanpak. Een mogelijk stappenplan ziet er als volgt uit:

      1. Richtlijnen vertalen naar KRI’s (indicatoren)
        Bepaal welke bepalingen van NIS2 meetbaar moeten worden gemaakt. Veel organisaties starten met een aantal standaard indicatoren rond IAM, incidentresponse en vulnerability management. Hier kunnen referentiemodellen en bestaande best practices ondersteuning bieden.

      2. Selecteren van belangrijkste KRI’s
        Kies de meetpunten die het meest aansluiten bij de eigen context en dienstverlening. Het uitvoeren van een «Business Impact Analyse» kan helpen om de kritieke processen en systemen, die centraal staan in NIS2, te identificeren en de juiste indicatoren te selecteren. Het vastleggen van duidelijke grenswaarden helpt om tijdig signaal te krijgen wanneer de situatie verslechtert.

      3. Applicatielandschap in kaart brengen
        Een compleet beeld van alle interne en externe applicaties en leveranciers is essentieel om risico’s holistisch te benaderen en een overzicht te krijgen van welke gegevens waar zitten.

      4. Databronnen identificeren
        Breng in kaart welke systemen de benodigde informatie leveren (logs, monitoringtools, inkoopgegevens). Het opzetten van een data­platform dat deze bronnen kan consolideren, voorkomt versnippering.

      5. Real-time of periodiek meten
        Bepaal per KRI of real-time monitoring noodzakelijk is, of dat periodieke rapportering volstaat. Zo wordt de balans gevonden tussen praktische haalbaarheid en
        informatiebehoefte.

      6. Dashboards opstellen
        Ontwikkel overzichtelijke dashboards waarin alle KRI’s samenkomen en automatisch berekend worden - waar mogelijk. Zorg dat zowel operationele teams, management als toezichthouders in één oogopslag de status kunnen zien. Template dashboards kunnen het proces versnellen en de kwaliteit verhogen.

      Deze stappen maken het mogelijk om NIS2 niet alleen als verplichting te zien, maar ook als een kans om de eigen organisatie transparanter en beter bestuurbaar te maken.

      Klaar voor de volgende stap?

      Samengevat: de NIS2-richtlijn stelt stevige verplichtingen op, maar biedt tegelijk de mogelijkheid om de cyberveiligheid te vergroten. Voor CIO’s en CISO’s van Vlaamse overheidsinstellingen zijn cyber analytics en dashboards daarbij cruciaal. Op basis van het stappenplan hierboven kunt u concreet:

      • Risicoanalyse uitvoeren: Breng alle kritische assets en leveranciers systematisch in kaart, inclusief de ketenrisico’s, zodat u ketenrisico’s proactief kunt beheersen.

      • Dashboard en metrics inrichten: Monitor kernindicatoren automatisch via dashboards om direct inzicht te krijgen in compliance en dreigingen (bijv. systeem beschikbaarheid, incidentafhandelingsduur, kwetsbaarheden).

      • Auditsporen en rapportages opzetten: Integreer logdata en alerts in een centrale metrics repository zodat elke actie traceerbaar is. Gebruik deze data om managementrapportages en compliance-rapporten te automatiseren.

      • Externe expertise inschakelen: Overweeg samenwerking met gespecialiseerde adviseurs voor het optimaliseren van uw analytics-omgeving. Een externe blik kan helpen bij het selecteren van KPI’s en het inrichten van flexibele dashboards op maat.

      Door deze stappen te zetten, zorgt u ervoor dat uw organisatie NIS2-compliant wordt en tegelijkertijd praktisch inzicht en controle krijgt over cyberrisico’s.

      Zet vandaag de eerste stap naar een datagedreven digitale veiligheid. Breng de cybersecurity van uw agentschap of dienst in kaart en bouw aan een toekomstbestendige, aantoonbaar veilige digitale overheid. Ontdek hoe wij u kunnen ondersteunen bij het versterken van uw digitale weerbaarheid en het naleven van NIS2.

      Author: Julie Robbrecht, Manager Advisor 

      Geert Criel Partner, Head of Public Sector | Advisory
      Geert Criel

      Partner, Head of Public Sector | Advisory

      KPMG in Belgium

      Blijf op de hoogte

      Weet als eerste welke zakelijke trends uw bedrijf vooruithelpen.

      Read more
      stay informed