De NIS2-richtlijn: wat betekent dit voor mijn organisatie?
Europa scherpt met NIS2 de regelgeving voor cyberbeveiliging gevoelig aan. Dit omdat het aantal digitale aanvallen op ondernemingen en (overheids-)instellingen jaar na jaar toeneemt. In een recent rapport over wereldwijde financiële stabiliteit wijst het Internationaal Monetair Fonds erop dat het aantal cyberaanvallen wereldwijd is verdubbeld sinds het begin van de coronapandemie in 2020. Die trend zet ook door in België. Daarom zette het parlement recent de Europese NIS2-richtlijn om in nationale wetgeving, die strengere eisen stelt aan de cyberveiligheid. Deze nieuwe wet, die vanaf 18 oktober 2024 van kracht zal zijn, brengt aanzienlijke veranderingen en verplichtingen met zich mee voor een breed scala aan organisaties. Dit artikel biedt een overzicht van wat de NIS2-richtlijn inhoudt, welke impact het heeft op uw organisatie en welke eerste stappen u best neemt.
Uitbreiding van toepassingsgebied
De NIS2-richtlijn breidt aanzienlijk het aantal sectoren en organisaties uit die moeten voldoen aan strenge cyberveiligheidsnormen. Onder de richtlijn vallen nu 18 kritische sectoren, waaronder energie, gezondheidszorg, digitale infrastructuur, maar ook nieuwe sectoren zoals post- en koeriersdiensten, afvalwaterbehandeling en chemische industrie. Naast de reeds bestaande verplichtingen voor ‘essentiële’ bedrijven, moeten nu ook ‘belangrijke’ entiteiten, zoals kleinere bedrijven (die zich in een bepaalde sector bevinden) met meer dan 50 werknemers of een jaaromzet van meer dan 10 miljoen euro, deze regels naleven.
Verhoogde verantwoordelijkheden en sancties
Een van de meest opvallende aspecten van de NIS2-richtlijn is de verhoogde persoonlijke aansprakelijkheid van bestuurders en managers. Zij worden persoonlijk verantwoordelijk gehouden voor het naleven van de cyberveiligheidsnormen en kunnen in extreme gevallen zelfs een tijdelijk beroepsverbod opgelegd krijgen als zij de regels niet volgen. Daarnaast zijn de boetes voor niet-naleving aanzienlijk verhoogd. Grotere ondernemingen kunnen boetes oplopen tot 2% van de wereldwijde jaaromzet, met een maximum van 10 miljoen euro.
Verplichte meldingen en audits
Onder de nieuwe wetgeving is het verplicht om cyberincidenten te melden bij het Belgische Centrum voor Cybersecurity (CCB). Deze instantie zal ook onaangekondigde veiligheidsscans en audits uitvoeren om de naleving van de wetgeving te verzekeren. Het negeren van aanbevelingen van het CCB kan leiden tot zware boetes en verdere sancties.
Voorbereiding en compliance
Met de invoering van de NIS2-richtlijn is het cruciaal voor alle betrokken organisaties om hun cyberbeveiligingsmaatregelen te herzien en te versterken. Bedrijven moeten zich bewust zijn van hun classificatie – small, basis, belangrijk, essentieel onder de nieuwe richtlijn en de vereiste maatregelen implementeren, zoals het opzetten van robuuste back-upsystemen, het trainen van personeel en het goedkeuren van cyberbeveiligingsplannen door het management.
Tip: bekijk het Cyberfundamentals framework en map uw organisatie aan de juiste classificatie: CyberFundamentals Framework | CCB Safeonweb
NIS2: en nu?
Voor heel wat organisaties moet wellicht nog heel wat gebeuren. Dit zijn alvast de eerste 3 essentiële stappen die u best kan ondernemen richting NIS2 compliance:
1. Bepaal of uw organisatie onder de NIS2 valt
Het eerste en meest cruciale aspect is het vaststellen of uw organisatie onder de nieuwe richtlijn valt. Dit hangt af van verschillende criteria, zoals de sector waarin uw organisatie actief is, het aantal werknemers, en de jaaromzet. De NIS2-wet is van toepassing op een breed scala aan sectoren en heeft specifieke drempelwaarden voor grootte. Raadpleeg de bijlagen I en II van de NIS2-wet en de aanbevelingen van de Europese Commissie om te bepalen of uw organisatie aan deze criteria voldoet.
Tip: Spotit ontwikkelde een eigen ‘NIS2 decision tree’, een handige tool om te bepalen onder welke NIS2 categorie uw organisatie valt. Gebruik deze tool via Decision tree | Spotit
2. Informeer de directie en het management luid en duidelijk
Gezien de verhoogde verantwoordelijkheden en de mogelijke persoonlijke aansprakelijkheid onder de NIS2, is het van cruciaal belang dat de directie en het management volledig geïnformeerd zijn over de implicaties van de richtlijn. Zij moeten begrijpen welke specifieke verplichtingen de richtlijn met zich meebrengt en hoe deze hun verantwoordelijkheden binnen de organisatie beïnvloeden. Workshops, trainingssessies en strategische meetings kunnen effectief zijn om deze kennis over te dragen. Belangrijk nog om mee te geven aan de directie: tegen 18 oktober 2024 moeten ondernemingen – en dus ook de CEO – kunnen bewijzen dat ze de nodige maatregelen hebben genomen die opgenomen zijn in artikel 30 en 31 van de NIS2-richtlijn.
Tip: vraag naar de CxO cybersecurity workshops op maat van spotit via [email protected]
3. Volg nauwlettend de communicatie van het Centrum voor Cybersecurity België (CCB)
Organisaties die onder de NIS2-wet vallen, zullen zich moeten registreren bij het CCB vanaf 18 oktober 2024. Deze registratie stelt het CCB in staat om toezicht te houden en ondersteuning te bieden waar nodig. Het is belangrijk om de specifieke registratie-eisen te bekijken die door het CCB worden verstrekt en te zorgen dat alle nodige informatie correct wordt doorgegeven. Het CCB fungeert ook als het meldpunt voor cybersecurity incidenten, wat deel uitmaakt van de compliance onder NIS2. Nauwlettend de communicatie van het CCB blijven volgen is zeker aangeraden.
NIS2 vervolgstappen: implementatie en voortdurende naleving
Na deze initiële stappen moeten organisaties een gedetailleerd actieplan opstellen om aan alle vereisten van de NIS2 te voldoen. Dit omvat het implementeren van adequate cybersecurity maatregelen, het opstellen van incident response plannen, en het regelmatig trainen van personeel. Regelmatige audits en updates van deze plannen zijn ook essentieel om de beveiliging up-to-date te houden en te voldoen aan de dynamische aard van cyberdreigingen.
Het naleven van de NIS2-richtlijn is niet alleen een wettelijke verplichting, maar ook een essentiële stap in het beschermen van uw organisatie tegen toenemende cyberdreigingen. Het vereist een georganiseerde en proactieve benadering van cybersecurity, waarbij de leiding van de organisatie nauw betrokken is bij het toezicht en de implementatie van effectieve cyberveiligheidspraktijken. Het is belangrijk dat je hier kan rekenen op een professionele partner die u en uw organisatie adviseert, begeleidt en u verder laat groeien in NIS2 cybersecurity maturiteit. Contacteer spotit om een NIS2-samenwerking te bespreken.
Hoera, meer bescherming!
De NIS2-richtlijn zet een nieuwe standaard voor cyberveiligheid in de EU en heeft aanzienlijke implicaties voor een breed scala aan organisaties in België. Het is essentieel dat bedrijven zich bewust zijn van deze nieuwe regels en de nodige stappen ondernemen om volledige compliance te garanderen. Dit is niet alleen een juridische verplichting, maar ook een cruciale stap om de veiligheid van uw organisatie in een digitaal verbonden wereld te waarborgen. Wij zijn alvast fan van NIS2, ons team van experten staat klaar om u te ondersteunen waar u dat nodig acht.
Nog meer NIS2 nieuws en bronnen…
Er is ondertussen heel wat info te vinden over NIS2. Voor het meest recente nieuws en/of meer gedetailleerde informatie kunt u zeker terecht op de website van het Centrum voor Cybersecurity België. Volgende bronnen vonden wij alvast zeer interessant en raden we aan om ook eens te bekijken:
- NIS2 | Centrum voor Cybersecurity België (belgium.be)
- De NIS2-richtlijn : wat betekent dit voor mijn organisatie? | Centrum voor Cybersecurity België (belgium.be)
- CyberFundamentals Framework | CCB Safeonweb
- Belgische NIS 2-wet goedgekeurd in federaal Parlement: Agoria beantwoordt uw vragen! | Agoria
- Tot 10 miljoen boete voor onaangepaste cyberbeveiliging – Computable.be
- ‘Veel kmo’s beseffen nog niet dat ze boetes riskeren voor zwakke cyberveiligheid’ | De Tijd
- Decision tree | Spotit