Wat betekent NIS2 voor uw organisatie?

In 2016 keurde de Europese Unie de NIS1-richtlijn goed. Met deze richtlijn wou het de regelgeving rond cybersecurity verstrengen door lidstaten te verplichten nationale cybersecurity strategieën te ontwikkelen. Bovendien moeten bedrijven in specifieke sectoren, de zogenaamde 'essentiële bedrijven', minimale veiligheidsmaatregelen nemen en ernstige incidenten melden. Deze richtlijn is op 7 april 2019 omgezet in de Belgische NIS-wet.

De afgelopen jaren zagen we echter een aanzienlijke toename van het aantal cyberaanvallen en zijn we afhankelijker geworden van de digitale wereld. Externe factoren zoals COVID-19 en (cyber)oorlogen hebben dit alleen maar versterkt. Kortom: waar cybersecurity vroeger soms een lage prioriteit had, is het nu voor elk bedrijf een must. Daarom besloot het Europese Parlement om de NIS1-wet te herzien en verder uit te breiden naar NIS2.

De Europese NIS2-richtlijn is sinds 16 januari 2023 van kracht voor alle lidstaten binnen de Europese Unie. Alle lidstaten, inclusief België, moeten deze richtlijn omzetten in een 'wet' tegen 17 oktober 2024.

Uw organisatie valt onder de NIS2-wet als u actief bent in één van bovenstaande sectoren én als u gezien wordt als 'essentiële' of 'belangrijke' entiteit. Momenteel is er in België nog geen volledige duidelijkheid welke soort bedrijven er onder 'essentieel' of 'belangrijk' vallen. Toch zal zo goed als elk bedrijf maatregelen moeten nemen want organisaties die onder de supply chain van deze bedrijven vallen, zullen ook aan specifieke veiligheidseisen moeten voldoen.

De eisen op het vlak van cybersecurity management en meldingsplicht zijn voor zowel de essentiële als belangrijke entiteiten gelijk, alleen het toezicht op het naleven van de regels en de sancties zullen verschillen.

• Voor essentiële entiteiten is er proactief toezicht. Bent u een essentiële entiteit, dan zullen toezichthouders controleren of uw organisaties de regels correct toepast en naleeft.
• Voor belangrijke entiteiten is er voorlopig een eerder reactieve controle voorzien, bijvoorbeeld wanneer er aanwijzingen zijn dat de organisatie de regels niet naleeft of wanneer er zich een cyberincident heeft voorgedaan.

Indien er na controle blijkt dat de regels niet correct toegepast of nageleefd zijn, dan kan het Centrum voor Cybersecurity België (CCB) sancties opleggen.

• Voor essentiële entiteiten kan het CCB administratieve geldboetes opleggen tot maximum 10 miljoen euro of ten minste 2% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
• Voor belangrijke entiteiten kan de geldboete oplopen tot maximum 7 miljoen euro of ten minste 1,4% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

Welke maatregelen u als organisatie precies moet nemen, hangt af van hoe het land de wet uitvoert. Zo kan België strengere specificaties invoeren in vergelijking met het Europese minimum. Wat wel al vastligt, is dat organisaties een lijst aan minimale basisbeveiligingen zullen moeten implementeren. Deze lijst bestaat uit:

• Risicoanalyse en informatiebeveiligingsbeleid (onderdeel van ISO 27001)
• Incidenten- en crisisbeheer (onderdeel van ISO 27001)
• Plannen voor de bedrijfscontinuïteit zoals het beheer van back-ups
• Garantie & beveiliging van de continuïteit van uw supply chain (toeleveringsketen)
• Uw personeel bewustmaken van de mogelijke gevaren in de digitale omgeving (bijvoorbeeld via een security awareness programma)
• Het gebruik van passende authenticatiesystemen zoals Multifactor Authenticatie
• Het gebruik van cryptografie/versleuteling
• Beleid en procedures om de effectiviteit van deze maatregelen te beoordelen

Ook voor het management gelden er verplichtingen. Zij moeten alle maatregelen goedkeuren en dragen met andere woorden de verantwoordelijkheid. Daarnaast moeten ze een basisopleiding cybersecurity volgen.