Hoe verzekert u een efficiënt en blijvend compliancebeheer?
Gepubliceerd op 03/06/2025 in Experten vertellen
De deadlines voor NIS2 en andere securitystandaarden vormen geen eindpunt. Rolf Coucke, Security Strategy Lead bij Proximus NXT, ziet compliance als een continu proces, met een blijvende opvolging als grote uitdaging. “Een GRC-raamwerk is onontbeerlijk.”
Een kwart van de Belgische bedrijven had het voorbije jaar af te rekenen met een cybersecurityincident. Dat blijkt uit het Proximus NXT Cybersecurity Rapport 2025. Voor het derde opeenvolgende jaar verwacht meer dan 40% van de respondenten dat het aantal cyberbeveiligingsincidenten of de impact ervan dit jaar nog toeneemt. Cyberveiligheid blijft een topprioriteit voor Belgische bedrijven, zeker in het licht van nieuwe wetgeving zoals NIS2.
NIS2-conformiteit bereiken en behouden
“De NIS2-wetgeving vormt een belangrijk instrument om het cyberweerbaarheidsniveau te verhogen”, zegt Rolf Coucke, Security Strategy Lead bij Proximus NXT. “Met strengere regels en een bredere reikwijdte dwingt NIS2, net als andere standaarden, zoals DORA, bedrijven om hun digitale beveiliging proactief te verbeteren en de continuïteit van kritieke diensten te waarborgen. Dat bracht en brengt heel wat werk met zich mee, maar de uitdaging zal minstens even groot zijn om de geïmplementeerde processen en beveiligingsmaatregelen nadien te onderhouden."
Een goed geïntegreerd GRC-raamwerk is essentieel om compliant te blijven en strategische doelen te behalen.
Rolf Coucke, Security Strategy Lead bij Proximus NXT
Een Governance, Risk & Compliance (GRC)-raamwerk biedt de mogelijkheid om de naleving van de NIS2-richtlijn en andere veiligheidsvereisten blijvend te borgen. “GRC integreert drie veiligheidsdimensies tot één integrale aanpak. Het brengt alle aspecten van veiligheidsbeheer samen en vermijdt blinde vlekken. In een wereld waarin risico’s en regelgeving continu veranderen, is een goed geïntegreerd GRC-raamwerk bijgevolg essentieel om compliant te blijven en strategische doelen te behalen.”
Opvolging als knelpunt
Rolf ziet het belang van compliance of conformiteit binnen de GRC-driehoek sterk toenemen. “Compliance verwijst naar de controle van de genomen maatregelen en was voorheen al aanwezig binnen wetgevingen als DORA en NIS1. NIS2 is er op gestoeld dat je – afhankelijk van het type entiteit - proactief of na een incident kan aantonen dat je alle vereiste maatregelen hebt genomen. Daarnaast reikt compliance verder dan de wettelijke verplichtingen. Veel bedrijven en organisaties beschouwen het als een essentiële voorwaarde voor hun handelsrelaties.
Compliance groeit zo uit tot een vereiste voor klanten en leveranciers. Het is een existentiële factor om effectief business te doen, niet alleen binnen Europa maar ook wereldwijd. Security compliance geldt als een belangrijke differentiator om deals binnen te halen.”
De manier waarop een organisatie compliance invult, varieert sterk en is onder meer afhankelijk van de aard en omvang van de activiteiten. Verschillende standaarden maken het als organisatie aantoonbaar dat u voldoet aan de NIS2-vereisten. “ISO 27001 geniet internationaal de grootste bekendheid als standaard voor informatiebeveiliging. Het Centrum voor Cybersecurity België (CCB) ontwikkelde eveneens een certificeringsschema dat is afgestemd op de verschillende niveaus van het eigen Cyberfundamentals-raamwerk.”
Veel organisaties zetten voor het behalen van zo’n certificering gedurende een afgelijnde periode alle zeilen bij en doen daarbij beroep op externe consultants. Volgens Rolf ligt de uitdaging echter in de opvolging na implementatie en vertrek van de consultants. “De achterliggende organisatie is vaak onvoldoende gewapend om de naleving blijvend te verzekeren. De intern aanwezige kennis en beschikbaarheid zijn te gering, waardoor de opgebouwde maturiteit snel afkalft en de compliance in het gedrang komt.
Om een idee te geven: de gemiddelde levensduur van een security governance profiel binnen een bedrijf is 18 tot 24 maand. De evoluerende regelgeving en het constant veranderende dreigingslandschp maken het extra moeilijk om die kloof te dichten.”
De grootste uitdaging bestaat niet uit het bereiken van een bepaalde maturiteit, maar wel in het behouden ervan.
Rolf Coucke, Security Strategy Lead bij Proximus NXT
Governance, Risk and Compliance as a Service
Om die discrepantie het hoofd te bieden, ontwikkelde Proximus NXT Governance, Risk and Compliance as a Service of kortweg GRCaaS, dat het complianceproces in grote mate automatiseert. “Compliance is erop gericht risico’s bloot te leggen. Die risico’s schaal je in via een score op basis van impact, de waarschijnlijkheid en het type toepassing (systemen, applicaties, businessprocessen).
Die score bepaalt de urgentie en de vereiste maatregelen om dat risico te beheren. GRCaaS visualiseert die flows, volgt ze automatisch op en maakt het mogelijk om na te gaan en te bewijzen of ze in de praktijk zijn nageleefd.”
GRCaaS automatiseert 90 tot 95% van de opvolging van de beveiligingscontroles, waardoor de afhankelijkheid van interne en externe kennis afneemt. “De beveiligingsverantwoordelijke kan er zelfstandig mee aan de slag en bijvoorbeeld maandelijks overleggen met een specialist van Proximus NXT om in te zoomen op non-conformiteiten die de beveiligingsmaatregelen onder druk zetten, het risico verhogen en de compliance ondermijnen.”
Focus op kerntaken
Rolf ziet uiteenlopende voordelen voor bedrijven en organisaties. “Via GRCaaS lopen de klassieke opvolgingskosten voor compliance sterk terug. Dankzij de automatisering en bijhorende ondersteuning kunnen de interne IT- en beveiligingsexperts zich beter op hun kerntaken focussen. In één beweging ontzorg je ook de achterliggende business, aangezien de volledige organisatie de gedeelde verantwoordelijkheid draagt voor de opvolging van alle beveiligingsmaatregelen.
De grotere visibiliteit vereenvoudigt bovendien de voorbereiding en uitvoering van audits. GRCaaS maakt security aanschouwelijk, tot op het niveau van de CEO, over de IT-medewerker en hr, tot de raad van bestuur, met relevante dashboards. Dat gebeurt bovendien zonder ingrijpende veranderingen op het vlak van processen of structuren.”
Rolf benadrukt dat de grootste uitdaging op het vlak van compliance niet bestaat uit het bereiken van een bepaalde maturiteit, maar wel in het behouden ervan. Hij beschouwt GRCaaS om allerlei redenen als dé aangewezen manier om die doelstelling te bereiken.
Efficiënt opbouwen van compliance
Ontdek hoe GRC as a Service u helpt om door middel van automatisering langdurige compliance en een robuuste cybersecurity te bereiken.
Rolf Coucke
Rolf Coucke heeft de laatste jaren een dynamisch team van meer dan 25 securityconsultants opgebouwd. Met een sterke achtergrond in informatiebeveiliging brengt Rolf meer dan 20 jaar professionele ervaring mee van organisaties zoals EY en Smals. Sinds zijn komst bij Proximus in 2015 zet Rolf zich in voor het verbeteren van beveiligingspraktijken en het bevorderen van een veilige digitale omgeving voor alle klanten.