De nieuwe NIS2-richtlijn voor cybersecurity: hoe ga je hiermee aan de slag?
door Gorik Van den Bergh en Frederik Vervoort
In december 2022 heeft het Europees Parlement de NIS2-richtlijn voor de beveiliging van netwerk- en informatiesystemen aangenomen om een hoger niveau van cyberbeveiliging in de EU te waarborgen. Nu is het aan België om vóór 17 oktober 2024 nieuwe wetgeving in te voeren die de bestaande NIS-wet vervangt. In dit eerste artikel verkennen we voornamelijk de vragen: Wat is NIS2? Waarom is NIS2 van belang? Is de NIS2-richtlijn van toepassing op mijn organisatie? In een tweede deel zullen we dieper ingaan op de concrete maatregelen en procedures die hiervoor nodig zijn.
Wat is de NIS2-richtlijn?
In 2016 heeft de Europese Unie de Directive on Security of Network and Information Systems (NIS Directive) geïntroduceerd. Deze eerste NIS-richtlijn (NIS1) legt strenge cybersecurityvereisten op aan bedrijven die als essentieel worden beschouwd, zoals water-, energie- en telecombedrijven. Na evaluatie van de NIS1-richtlijn door de Europese Commissie bleek dat het toepassingsgebied te beperkt was en er inconsistentie was tussen lidstaten, wat de effectiviteit van de richtlijn belemmerde. Dit leidde tot de noodzaak om een vernieuwde NIS richtlijn – zijnde NIS2 – uit te vaardigen. Met de introductie van NIS2 wordt het toepassingsgebied uitgebreid.
Waarom is de NIS2-richtlijn belangrijk?
Aangezien onze meest essentiële sectoren, zoals transport, energie, gezondheid en financiën, steeds afhankelijker zijn geworden van digitale technologieën om hun kernactiviteiten uit te voeren, worden ze ook steeds kwetsbaarder voor cyberdreigingen. Cyberbeveiligingsincidenten worden steeds groter en complexer en hebben vaak een ernstige economische en sociale impact. De NIS2-richtlijn erkent dit en legt de nadruk op het nemen van effectieve maatregelen voor het beschermen van netwerk- en informatiesystemen. Deze maatregelen hebben als doel de kwetsbaarheid van je organisatie te verminderen en de weerbaarheid tegen cyberaanvallen te vergroten.
Wat is er nieuw aan NIS2?
Enkele belangrijke vaststellingen:
Meer organisaties waaronder ook KMO’s in sommige sectoren zullen verplicht worden om beveiligingsmaatregelen te nemen;
Er worden uitgebreidere vereisten opgelegd rond*:
Risk management
Incidentbeheer (preventie, detectie en response) en incidentrapportering
Business continuïteit en crisisbeheer
Supply chain beveiliging (focus op leveranciersrelaties)
Transparantere bekendmaking en beheer van kwetsbaarheden
Samenwerking tussen lidstaten;
De NIS2 classificeert organisaties op basis van hun belang en verdeelt ze onder in essentiële en belangrijke entiteiten;
De NIS2 vereist niet langer dat organisaties hetzij extern geauditeerd worden, hetzij een ISO27001 certificatie halen. Organisaties zullen – net zoals bij de AVG of GDPR wetgeving - wel te allen tijde moeten kunnen aantonen aan de nationale autoriteiten dat men de NIS2-regelgeving respecteert. De nationale autoriteiten krijgen ook de bevoegdheid om maatregelen te nemen om organisaties aan te zetten passende maatregelen te nemen. Naast administratieve maatregelen kunnen er ook boetes worden opgelegd (zie hieronder).
*In een volgende publicatie zal er meer in detail ingegaan worden op de vereisten in de vermelde domeinen.
Is de NIS2-richtlijn van toepassing op mijn organisatie?
Zoals eerder aangegeven, is het nog wachten op de omzetting van de NIS2-richtlijn in Belgische wetgeving. Die kan afwijken van de Europese richtlijn. Bijgevolg is onderstaande informatie gebaseerd op de bestaande NIS2-richtlijn.
De NIS2-richtlijn richt zich op sectoren die al onder de eerste NIS-richtlijn vallen en op een aantal nieuwe sectoren. Belangrijk hierbij is dat organisaties automatisch onder de NIS2-richtlijn kunnen vallen als zij actief zijn in een van de onderstaande sectoren en volgens de criteria gekenmerkt worden als ‘essentiële’ of ‘belangrijke’ entiteit:
Essentiële entiteiten
Essentiële entiteiten binnen NIS2 zijn de grote organisaties die actief zijn in een sector uit bijlage I van de NIS2-richtlijn. Grote organisaties zijn organisaties met (1) minimaal 250 werknemers of (2) een jaaromzet van minstens 50 miljoen euro of (3) een jaarlijks balanstotaal van minstens 43 miljoen euro.
Belangrijke entiteiten
Belangrijke entiteiten binnen NIS2 zijn zijn middelgrote organisaties die actief zijn in een sector uit bijlage I en middelgrote en grote organisaties die actief zijn in een sector uit bijlage II. Middelgrote organisaties zijn organisaties met (1) minimaal 50 werknemers of (2) een jaaromzet (of balanstotaal) van minstens 10 miljoen euro).
Uitzonderingen
Er zijn echter uitzonderingen voor kleinere bedrijven die ook als belangrijk kunnen worden beschouwd, maar niet aan bepaalde omvangvereisten voldoen. Bovendien kunnen sommige entiteiten expliciet door lidstaten worden uitgesloten van de NIS2.
Sectoren bijlage 1 | Sectoren bijlage 2 |
|---|---|
Energie | Digitale aanbieders |
Met de NIS2 kunnen organisaties worden aangemerkt als essentieel of belangrijk, waarbij dezelfde eisen voor cybersecurity management en meldingsplicht gelden. Het belangrijkste verschil tussen de twee is de mate van toezicht op het naleven van de regels. Zo vallen essentiële entiteiten onder een intensiever regime van toezicht en strengere sancties.
Het Centrum voor Cybersecurity België (CCB) heeft een Scoping tool ontwikkeld om te bepalen of jouw organisatie binnen het toepassingsgebied van de Belgische NIS2-wet valt.
Kunnen er sancties worden opgelegd?
Lidstaten moeten er efficiënt op toezien dat entiteiten in de scope van NIS2 de nodige maatregelen nemen en incidenten melden. Hiervoor kunnen zij bijvoorbeeld regelmatige externe audits, inspecties uitvoeren of bepaalde documentatie opvragen. Organisaties die niet voldoen aan de voorschriften van NIS2 kunnen worden onderworpen aan verschillende mogelijke sancties, waaronder ook boetes of administratieve sancties die kunnen oplopen tot een maximum van 10 miljoen euro voor zogenaamde essentiële entiteiten (2% van de wereldwijde omzet) en 7 miljoen euro voor belangrijke entiteiten (1,4% van de wereldwijde omzet). Bestuursleden kunnen persoonlijk aansprakelijk worden gesteld bij niet-naleving hiervan (art. 32.6).
Hoe kunnen wij je bij Vandelanotte helpen?
Je bent niet zeker of en in welke mate je moet voldoen aan NIS2?
Je wenst meer inzicht te krijgen in welke concrete maatregelen er nog ontbreken om NIS2 compliant te zijn?
Je twijfelt over de juiste aanpak?
Onze experten adviseren jou en bieden indien gewenst ondersteuning bij de implementatie van de nodige veiligheidsmaatregelen om NIS-compliant te zijn.
Meer weten over de cybersecurity compliance van jouw organisatie? Neem dan contact op met Gorik.vandenbergh@vdl.be of cyber@vdl.be.
Om dit formulier te kunnen versturen moet u het gebruik van technische cookies aanvaarden. Dat kan u hier aanpassen.
Deze cookies worden gebruikt om onderscheid te maken tussen mensen en bots. Bepaalde gegevens, zoals uw IP adres of taal, kunnen hierbij doorgestuurd worden naar Google. Meer info vindt u in onze cookieverklaring.
Gorik Van den Bergh
Certified Information Systems Auditor Gorik.VandenBergh@vdl.be
Frederik Vervoort
Managing consultant frederik.vervoort@vdl.be
Disclaimer
Bij onze adviezen baseren wij ons op de huidige wetgeving, interpretaties en rechtsleer. Dit verhindert niet dat de administratie deze kan betwisten of dat bestaande interpretaties kunnen wijzigen.
Nieuws en inzichten
Lees onze laatste inzichten en nieuwsberichten om op de hoogte te blijven van veranderingen in jouw sector.
