BlogNIS2 Richtlijn in België: wat is het en voor wie? | 52 Topics

NIS2 Richtlijn in België: wat is het en voor wie? | 52 Topics

Heeft u wel eens gehoord van de NIS2 richtlijn? Zo niet, dan is het hoog tijd om u erin te verdiepen. NIS2 markeert de nieuwe standaard voor online veiligheid in de EU, met strengere eisen en een bredere toepassing.

In deze 52 Topics aflevering behandelen Kevin en Maarten Verhaghe van Trust Advocaten alles wat u moet weten over deze richtlijn. Ontdek meer over de impact, naleving en waarom dit van belang is voor uw bedrijf.

In 52 Topics gaat Kevin wekelijks de strijd aan met een technisch topic. Onderwerpen van ‘XR’ over ‘big data’ tot ‘zero trust’, die hij in 10 minuten en in begrijpelijke taal duidelijker maakt.

Bekijk de aflevering hierboven als video, lees het hieronder als blog of beluister hem als podcast op Spotify, Apple Podcasts of Google Podcasts. 👇

Wat is de NIS2 richtlijn?

NIS2 is een nieuwe Europese richtlijn die over onze online veiligheid waakt. Het is de opvolger van de NIS1-richtlijn, die al sinds 2016 geldt. Maar de NIS2-richtlijn gaat verder: hij geldt voor meer sectoren, stelt hogere eisen en vraagt meer transparantie.

Is NIS2 verplicht?

Op dit moment is het nog steeds een richtlijn, maar de EU-landen hebben tot 17 oktober 2024 de tijd om deze richtlijn om te zetten in wetgeving. Dus er is nog wat tijd om ons voor te bereiden.

Het belang van de NIS2 richtlijn

De NIS2-richtlijn is bedoeld om de cyberbeveiliging van essentiële diensten in de EU te verbeteren. Denk bijvoorbeeld aan energie, transport, gezondheid, financiën, water en digitale diensten. Deze diensten zijn afhankelijk van netwerk- en informatiesystemen, zoals computers, servers, netwerken en software. Als deze systemen worden aangevallen of verstoord door hackers of andere bedreigingen, kan dat grote gevolgen hebben.

Daarom moeten de bedrijven en organisaties die deze diensten leveren zich houden aan de NIS2-richtlijn. Het verplicht hen om zelf een risicobeoordeling te doen en passende maatregelen te nemen om hun systemen te beveiligen. Ook moeten ze incidenten melden aan de bevoegde autoriteiten. Zo kunnen de risico’s verminderen en kan er sneller gereageerd worden op cyberaanvallen.

Heeft u nog hulp nodig om jouw cyberbeveiliging te optimaliseren, neem dan contact met ons op.

Welke bedrijven vallen onder NIS2?

De betrokken organisaties worden onderverdeeld in twee categorieën: essentiële bedrijven en belangrijke bedrijven. De categorie waar je organisatie toe behoort, hangt af van twee factoren: de sector waarin u actief bent en de grootte van uw organisatie.

Bijkomende voorwaarden

In NIS1 werd alleen rekening gehouden met de sector, maar in NIS2 zijn er enkele bijkomende criteria, namelijk het aantal werknemers en de omzet van het bedrijf.

Daarnaast is het voor overheden nu ook mogelijk om zelf bedrijven aan te duiden die mogelijks belangrijk zijn voor de NIS2 richtlijn, wat het toepassingsgebied alweer wat breder maakt.

Essentiële bedrijven

Essentiële bedrijven zijn grote organisaties die actief zijn in de zeer kritieke sectoren (zie tabel onderaan), zoals energie, transport, bankwezen, gezondheidszorg en drinkwater.

Een organisatie is groot als zij minimaal 250 werknemers heeft of een jaaromzet van meer dan € 50 miljoen en een balanstotaal van meer dan € 43 miljoen.

Belangrijke bedrijven

Belangrijke bedrijven zijn middelgrote organisaties die actief zijn in de zeer kritieke sectoren of grote organisaties die actief zijn in de andere kritieke sectoren (zie tabel). Enkele nieuwe sectoren die onder de NIS2-richtlijn vallen, zijn onder andere  ICT-diensten, productiebedrijven enzovoort.

Een organisatie is middelgroot als zij minimaal 50 werknemers heeft of een jaaromzet en balanstotaal van meer dan € 10 miljoen.

Het verschil in het niveau van toezicht

Het verschil tussen essentiële en belangrijke bedrijven zit vooral in het niveau van toezicht dat zij krijgen.

Essentiële bedrijven worden strenger gecontroleerd op hun naleving van de verplichtingen, zowel vooraf als achteraf.

Belangrijke bedrijven worden alleen achteraf gecontroleerd als er aanwijzingen zijn dat zij niet aan de wet voldoen of als er een incident heeft plaatsgevonden.

Extra verantwoordelijkheid door leverancier assessment

Verplichte leverancier assessment

Dit komt doordat NIS2-bedrijven alleen producten en diensten kunnen afnemen van bedrijven die ook cybersecurity en veiligheid respecteren. Anders lopen ze zelf het risico in hun eigen veiligheidsomgeving.

Het is nu zelfs een persoonlijke verplichting om ervoor te zorgen dat het bedrijf waarmee je in zee gaat, ook aan de richtlijnen voldoet.

NIS2 heeft een olievlek-effect

Hierdoor zal NIS2 een olievlek-effect hebben. Bedrijven die niet als essentieel of belangrijk zijn aangemerkt, kunnen nog steeds worden verplicht om de NIS2-richtlijnen te volgen als een van hun klanten een NIS2-bedrijf is.

Wat is het verschil tussen NIS2 en de GDPR wetgeving?

Om ook nog even duidelijk te maken, er bestaat daadwerkelijk een onderscheid tussen de GDPR en de NIS2 wetgeving.

GDPR en NIS2 versterken elkaar

NIS2 zal de GDPR bijvoorbeeld niet vervangen, maar de twee wetgevingen zullen tegelijkertijd naast elkaar blijven bestaan en elkaar versterken.

GDPR is eigenlijk de basiswetgeving voor cybersecurity, waarbij NIS1 een overkoepelende laag bied en NIS2 hierop voortbouwt.

Zowel burgers als bedrijven beschermen

Terwijl de GDPR zich richt op de bescherming van persoonsgegevens, gaat NIS2 verder door niet alleen persoonsgegevens te beveiligen, maar ook de algehele bedrijfsveiligheid.

Met deze richtlijn wil de EU, de security posture van de bedrijven aanmoedigen om zowel burgers als de bedrijven te beschermen.

NIS2 voorbereiding: Hoe kan jouw bedrijf compliant zijn?

Enerzijds is er een technische voorbereiding en anderzijds een juridische voorbereiding vereist.

Juridische voorbereiding

Binnen het juridische kader dienen bedrijven rekening te houden met verschillende aspecten, waaronder contractbeheer en vendor assessment om te verifiëren of hun leveranciers voldoende beveiligd zijn.

Technische voorbereiding

Wat betreft de technische voorbereiding, blijft de beveiliging van uw eigen IT-beveiliging van groot belang. Veel bedrijven hebben zelfs nog geen tweefactorauthenticatie (2FA), laat staan multifactorauthenticatie (MFA) geïmplementeerd. Daarnaast zijn zaken zoals back-upbeheer, risicobeheer, disaster recovery en andere verplichtingen cruciaal om NIS2-conform te zijn.

Denk bijvoorbeeld aan incidentrapportages, incidentbeheer en het opzetten van een effectieve structuur binnen jouw bedrijf om bedreigingen te identificeren.

Er moeten dus heel wat technische en organisatorische maatregelen genomen worden om ervoor te zorgen dat als er een breach is, de nodige stappen genomen kunnen worden om zo snel mogelijk up en running te zijn.

Tegenwoordig is investeren in IT-beveiliging, zoals netwerkbeveiliging en systeembeveiliging essentieel om aan de NIS2-richtlijnen te voldoen.

Wanneer heeft u meldplicht en wat is een significant incident?

Bij een significant incident zal er voor NIS2 het verplicht worden om dit te melden aan het CSIRT (Computer Security Incident Response Team) of aan jouw toezichthoudende autoriteit. Indien jouw klanten ook een potentieel gevaar of risico hebben van het incident, moet u hun ook gaan verwittigen.

Momenteel gaat de Europese commissie nog een invulling doen van de richtlijn om nog duidelijk te maken wat een significant incident precies is. Dit zou eind oktober nog gebeuren.

Certificering: Hoe kunt u bewijzen dat uw bedrijf compliant is?

Onder NIS1 is er bijvoorbeeld het ISO27001-certificaat. Maar in NIS2 bestaat er geen specifiek certificaat, maar het verwijst wel naar de cybersecurityverordening. ICT-producten en -diensten kunnen op verschillende manieren worden gecertificeerd.

Zelfcertificering

Zelfcertificering: Bedrijven kunnen zelf conformiteit bewijzen door de parameters voor veerkracht, toegankelijkheid en beveiligingsupdates voor het dichten van kwetsbaarheden te testen en het zo op de markt brengen.

Verplichte certificering wordt vanaf 2024 beslist

Aan de andere kant zal de Europese Commissie op 30 december 2024 een lijst opstellen van bedrijven, diensten en processen die gecertificeerd moeten zijn. Ook overheden kunnen beslissen welke producten en diensten in het kader van NIS2 gecertificeerd moeten worden.

Het certificatiekader wordt momenteel ontwikkeld in samenwerking met het Centrum voor Cybersecurity in België (CCB) en UNIZA (het Europese framework). Het niveau van certificering zal afhangen van het risico binnen het bedrijf.

Persoonlijke aansprakelijkheid van NIS2

Bij het niet naleven van deze wetgeving is er sprake van een persoonlijke bestuurdersaansprakelijkheid. Echter zijn er beperkingen aan deze aansprakelijkheid wanneer er sprake is van geen opzet of kwaadwilligheid.

De impact, boetes en sancties van het niet naleven van NIS2

Boetes tot 10 miljoen euro

De impact kan aanzienlijk zijn, aangezien de Europese Commissie bedrijven de cruciale betekenis van deze wetgeving wil laten inzien, met boetes die kunnen oplopen tot 10 miljoen euro. Niet alleen de financiële gevolgen zijn van belang, maar ook de operationele impact, inclusief imagoschade en verlies van klanten.

Controleverlies over uw eigen bedrijf

Bovendien bestaat het risico dat u een werkverbod opgelegd krijgt en dat er een externe beheerder binnen uw bedrijf wordt aangesteld, met de verantwoordelijkheid om ervoor te zorgen dat alle maatregelen worden nageleefd. Hiermee verliest u dus eigenlijk wel een stukje controle over uw bedrijf.

Nood aan bedrijfscontinuïteit maakt de urgentie duidelijk

Wanneer u de kosten vergelijkt om aan de wetgeving te voldoen met de kosten van een productiestop van één week tot een maand of het moeten ontslaan van werknemers, wordt de urgentie en impact van naleving wel heel duidelijk.

Zeer kritieke en andere kritieke sectoren

Zeer kritieke sectoren

- Energie

- Transport

- Bankwezen

- Infrastructuur van de financiële markt

- Gezondheidszorg

- Drinkwater en afvalwater

- Digitale infrastructuur

- Beheerders van ICT-diensten

- Overheid

- Ruimtevaart

Andere kritieke sectoren

- Digitale aanbieders

- Post- en koerierdiensten

- Afvalstoffenbeheer

- Levensmiddelen

- Chemische stoffen

- Onderzoek

- Vervaardiging en Productie

Heeft u ook een vraag voor Kevin? Geef een virtueel seintje en laat uw vraag achter op sociale media! #RodeTelefoon

Gerelateerde artikels

alle artikels
Text Link

ITCE en ConXioN versterken elkaar en vergroten hun cloud aanbod in Vlaanderen

ConXioN versterkt haar cloud divisie met de overname van ITCE uit Kontich.

Text Link

Microsoft Copilot: Wat mag u verwachten?

Microsoft Copilot werd op 21 september officieel aangekondigd. Het zal de manier waarop Microsoft-klanten omgaan met hun applicaties ingrijpend veranderen.

Text Link

Microsoft’s toekomst volgens Marijke Schroos, GM van Microsoft Belux

De toekomst van Microsoft ziet er veelbelovend uit met veel nieuwigheden op vlak van AI, security, education, regulering en sustainability.

Bij ITCE ondersteunen wij organisaties van A tot Z met hun IT-omgeving. Met behulp van onze oplossing ‘Virtual Workplace’, creëren wij een veilige, optimaal functionerende en kostenefficiënte werkomgeving, die klaar is voor de toekomst.

Ontdek Virtual Workplace

Hoe wij u helpen

Veiligheid verhogen
Groei van uw bedrijf
Productiviteit verhogen
Kosten-efficiënter zijn
Vanop afstand (samen)werken
IT-support & managed services
ContactPluyseghemstraat 50
2550 Kontich (België)
icon-phone
 +32 3 808 32 22
icoon-mail
sales@itce.be

Meer weten

SuccesverhalenWerken bij Over ons
Support
icon-phone
+ 32 3 808 32 20
icoon-mail
support@itce.be
Download Teamviewer
© ITCE - Alle rechten voorbehouden
|
BTW-nummer: BE 0887.268.797
Algemene voorwaardenPrivacy PolicyCookies