NIS2 Richtlijn in België: wat is het en voor wie? | 52 Topics
Heb je wel eens gehoord van de NIS2 richtlijn? Zo niet, dan is het hoog tijd om je erin te verdiepen. NIS2 markeert de nieuwe standaard voor online veiligheid in de EU, met strengere eisen en een bredere toepassing.
In deze 52 Topics aflevering behandelen Kevin en Maarten Verhaghe van Trust Advocaten alles wat je erover moet weten. Ontdek meer over de impact, naleving en waarom dit van belang is voor jouw bedrijf.
In 52 Topics gaat Kevin wekelijks de strijd aan met een technisch topic. Onderwerpen van ‘XR’ over ‘big data’ tot ‘zero trust’, die hij in 10 minuten en in begrijpelijke taal duidelijker maakt.
Bekijk de aflevering hierboven als video, lees het hieronder als blog of beluister hem als podcast op Spotify, Apple Podcasts of Google Podcasts. 👇
Snelle links 🔗:
Wat is de NIS2 richtlijn?
NIS2 is een nieuwe Europese richtlijn die over onze online veiligheid waakt. Het is de opvolger van de NIS1-directive, die al sinds 2016 geldt. Maar de NIS2 directive gaat verder: hij geldt voor meer sectoren, stelt hogere eisen en vraagt meer transparantie.
Is NIS2 verplicht?
Op dit moment is het nog steeds een richtlijn, maar de EU-landen hebben tot 17 oktober 2024 de tijd om het om te zetten in wetgeving. Hierdoor is er momenteel geen verplichting, enkel het advies om jouw bedrijf zo goed mogelijk voor te bereiden. Hierdoor ben je verzekerd dat je conform bent tegen dat het wel een wetgeving, oftewel verplichting wordt.
De eerste NIS2 tool met een AI chatbot
Heb je nog vragen over NIS2? ConXioN en TRUST Advocaten hebben namelijk hun expertise in IT en juridische advisering gebundeld om een NIS2 tool te ontwikkelen.
Speciaal ontworpen om bedrijven door het complexe doolhof van de NIS2-regelgeving te helpen navigeren.
Bekijk aan de hand van de validator of je aan de richtlijnen moet voldoen en welke impact dit zal hebben op jouw bedrijf. Maar vraag ook jouw specifieke vragen aan de eerste NIS2 AI chatbot, powered by Copilot studio.
Lees hier meer over de ontwikkeling van deze NIS2 tool.
Het belang van de NIS2 richtlijn
De NIS2 is bedoeld om de cyberbeveiliging van essentiële diensten in de EU te verbeteren. Denk bijvoorbeeld aan energie, transport, gezondheid, financiën, water en digitale diensten. Deze diensten zijn afhankelijk van netwerk- en informatiesystemen, zoals computers, servers, netwerken en software. Als deze systemen worden aangevallen of verstoord door hackers of andere bedreigingen, kan dat grote gevolgen hebben.
Daarom moeten de bedrijven en organisaties die deze diensten leveren zich houden aan de NIS2-richtlijn. Het verplicht hen om zelf een risicobeoordeling te doen en passende maatregelen te nemen om hun systemen te beveiligen. Ook moeten ze incidenten melden aan de bevoegde autoriteiten. Zo kunnen de risico’s verminderen en kan er sneller gereageerd worden op cyberaanvallen.
Heb je nog hulp nodig om jouw cyberbeveiliging te optimaliseren, neem dan contact met ons op.
Welke bedrijven vallen onder NIS2?
De regelgeving heeft een breder toepassingsgebied dan zijn voorganger. Maar voor wie is het dan? Je kan de betrokken organisaties onderverdelen in twee categorieën: essentiële bedrijven en belangrijke bedrijven. De categorie waar jouw organisatie toe behoort, hangt af van twee factoren: de sector waarin je actief bent en de grootte van je organisatie.
Bijkomende voorwaarden
In NIS1 werd alleen rekening gehouden met de sector, maar in NIS2 zijn er enkele bijkomende criteria, namelijk het aantal werknemers en de omzet van het bedrijf.
Daarnaast is het voor overheden nu ook mogelijk om zelf bedrijven aan te duiden die mogelijks belangrijk zijn voor de NIS2 richtlijn, wat het toepassingsgebied alweer wat breder maakt.
Essentiële bedrijven
Essentiële bedrijven zijn grote organisaties die actief zijn in de zeer kritieke sectoren (zie tabel onderaan), zoals energie, transport, bankwezen, gezondheidszorg en drinkwater.
Een organisatie is groot als zij minimaal 250 werknemers heeft of een jaaromzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen.
Belangrijke bedrijven
Belangrijke bedrijven zijn middelgrote organisaties die actief zijn in de zeer kritieke sectoren of grote organisaties die actief zijn in de andere kritieke sectoren (zie tabel). Enkele nieuwe industrieën die onder de NIS2 vallen, zijn onder andere ICT-diensten, productiebedrijven enzovoort.
Een organisatie is middelgroot als zij minimaal 50 werknemers heeft of een jaaromzet en balanstotaal van meer dan € 10 miljoen.
Het verschil in het niveau van toezicht
Het verschil tussen essentiële en belangrijke bedrijven zit vooral in het niveau van toezicht dat zij krijgen.
Essentiële bedrijven worden strenger gecontroleerd op hun naleving van de verplichtingen, zowel vooraf als achteraf.
Belangrijke bedrijven worden alleen achteraf gecontroleerd als er aanwijzingen zijn dat zij niet aan de wet voldoen of als er een incident heeft plaatsgevonden.
Extra verantwoordelijkheid door leverancier assessment
Verplichte leverancier assessment
Dit komt doordat NIS2-bedrijven alleen producten en diensten kunnen afnemen van bedrijven die ook cybersecurity en veiligheid respecteren. Anders lopen ze zelf het risico in hun eigen veiligheidsomgeving.
Het is nu zelfs een persoonlijke verplichting om ervoor te zorgen dat het bedrijf waarmee je in zee gaat, ook aan de richtlijnen voldoet.
NIS2 heeft een olievlek-effect
Hierdoor zal NIS2 een olievlek-effect hebben. Bedrijven die niet als essentieel of belangrijk zijn aangemerkt, kunnen nog steeds worden verplicht om de NIS2 richtlijn te volgen als een van hun klanten een NIS2-bedrijf is.
Wat is het verschil tussen NIS2 en de GDPR wetgeving?
Om ook nog even duidelijk te maken, er bestaat daadwerkelijk een onderscheid tussen de GDPR en de NIS2 wetgeving.
GDPR en NIS2 versterken elkaar
NIS2 zal de GDPR bijvoorbeeld niet vervangen, maar de twee wetgevingen zullen tegelijkertijd naast elkaar blijven bestaan en elkaar versterken.
GDPR is eigenlijk de basiswetgeving voor cybersecurity, waarbij NIS1 een overkoepelende laag bied en NIS2 hierop voortbouwt.
Zowel burgers als bedrijven beschermen
Terwijl de GDPR zich richt op de bescherming van persoonsgegevens, gaat NIS2 verder door niet alleen persoonsgegevens te beveiligen, maar ook de algehele bedrijfsveiligheid.
Met deze richtlijn wil de EU, de security posture van de bedrijven aanmoedigen om zowel burgers als de bedrijven te beschermen.
NIS2 voorbereiding: Hoe kan jouw bedrijf compliant zijn?
Enerzijds is er een technische voorbereiding en anderzijds een juridische voorbereiding vereist.
Juridische voorbereiding
Binnen het juridische kader dienen bedrijven rekening te houden met verschillende aspecten, waaronder contractbeheer en vendor assessment om te verifiëren of hun leveranciers voldoende beveiligd zijn.
Technische voorbereiding
Wat betreft de technische voorbereiding, blijft de beveiliging van jouw eigen IT-beveiliging van groot belang. Veel bedrijven hebben zelfs nog geen tweefactorauthenticatie (2FA), laat staan multifactorauthenticatie (MFA) geïmplementeerd. Daarnaast zijn zaken zoals back-upbeheer, risicobeheer, disaster recovery en andere verplichtingen cruciaal om NIS2-conform te zijn.
Denk bijvoorbeeld aan incidentrapportages, incidentbeheer en het opzetten van een effectieve structuur binnen jouw bedrijf om bedreigingen te identificeren.
Een krachtig hulpmiddel in dit proces kan bijvoorbeeld het cloud computing platform Microsoft Azure zijn. Azure biedt een reeks beveiligings- en compliance-tools die organisaties kunnen gebruiken om hun infrastructuur te beveiligen, risico’s te beheren, en aan de rapportageverplichtingen te voldoen.
Er moeten dus heel wat technische en organisatorische maatregelen genomen worden om ervoor te zorgen dat als er een breach is, de nodige stappen genomen kunnen worden om zo snel mogelijk up en running te zijn.
Tegenwoordig is investeren in IT-beveiliging, zoals netwerkbeveiliging en systeembeveiliging essentieel om aan de NIS2-richtlijnen te voldoen.
Bekijk hier onze NIS2 compliance checklist voor meer informatie.
Wanneer heb je meldplicht en wat is een significant incident?
Bij een significant incident heb je meldplicht. Hierdoor zal je voor NIS2 het incident verplicht moeten melden aan het CSIRT (Computer Security Incident Response Team) of aan jouw toezichthoudende autoriteit. Indien jouw klanten ook een potentieel gevaar of risico hebben van het incident, moet je hun ook gaan verwittigen.
Momenteel gaat de Europese Commissie nog een invulling doen van de richtlijn om nog duidelijk te maken wat een significant incident precies is. Dit zou eind oktober nog gebeuren.
Certificering: Hoe kan ik bewijzen dat mijn bedrijf compliant is?
Onder NIS1 is er bijvoorbeeld het ISO27001-certificaat. Maar in NIS2 bestaat er geen specifiek certificaat dat aantoont dat je compliant bent. Wel, verwijst het naar de cybersecurityverordening. ICT-producten en -diensten kunnen namelijk op verschillende manieren worden gecertificeerd en gevalideerd.
Zelfcertificering
Zelfcertificering: Bedrijven kunnen zelf conformiteit bewijzen door de parameters voor veerkracht, toegankelijkheid en beveiligingsupdates voor het dichten van kwetsbaarheden te testen en het zo op de markt brengen.
Verplichte certificering wordt vanaf 2024 beslist
Aan de andere kant zal de Europese Commissie op 30 december 2024 een lijst opstellen van bedrijven, diensten en processen die gecertificeerd moeten zijn. Ook overheden kunnen beslissen welke producten en diensten in het kader van NIS2 gecertificeerd moeten worden.
Het certificatiekader wordt momenteel ontwikkeld in samenwerking met het Centrum voor Cybersecurity in België (CCB) en ENISA (het Europese framework). Het niveau van certificering zal afhangen van het risico binnen het bedrijf.
Persoonlijke aansprakelijkheid van NIS2
Bij het niet naleven van deze wetgeving is er sprake van een persoonlijke bestuurdersaansprakelijkheid. Echter zijn er beperkingen aan deze aansprakelijkheid wanneer er sprake is van geen opzet of kwaadwilligheid.
De impact, boetes en sancties van het niet naleven van NIS2
Boetes tot 10 miljoen euro
De impact kan aanzienlijk zijn, aangezien de Europese Commissie bedrijven de cruciale betekenis van deze wetgeving wil laten inzien, met boetes die kunnen oplopen tot 10 miljoen euro. Niet alleen de financiële gevolgen zijn van belang, maar ook de operationele impact, inclusief imagoschade en verlies van klanten.
Controleverlies over jouw eigen bedrijf
Bovendien bestaat het risico dat je een werkverbod opgelegd krijgt en dat er een externe beheerder binnen jouw bedrijf wordt aangesteld, met de verantwoordelijkheid om ervoor te zorgen dat alle maatregelen worden nageleefd. Hiermee verlies je dus eigenlijk wel een stukje controle over jouw bedrijf.
Nood aan bedrijfscontinuïteit maakt de urgentie duidelijk
Wanneer je de kosten vergelijkt om aan de wetgeving te voldoen met de kosten van een productiestop van één week tot een maand of het moeten ontslaan van werknemers, wordt de urgentie en impact van naleving wel heel duidelijk.
Tabel: Zeer kritieke en andere kritieke sectoren
| Zeer kritieke sectoren | Andere kritieke sectoren |
|---|---|
| Energie | Digitale aanbieders |
| Transport | Post- en koerierdiensten |
| Bankwezen | Afvalstoffenbeheer |
| Infrastructuur van de financiële markt | Levensmiddelen |
| Gezondheidszorg | Chemische stoffen |
| Drinkwater en Afvalwater | Onderzoek |
| Digitale infrastructuur | Vervaardiging en Productie |
| Beheerders van ICT-diensten | |
| Overheid | |
| Ruimtevaart |
Heb jij ook een vraag voor Kevin? Geef een virtueel seintje en laat je vraag achter op sociale media! #RodeTelefoon
Meer weten over hoe je jouw bedrijf technisch kan voorbereiden op NIS2?
Onze experts staan voor je klaar om je te begeleiden en te adviseren.