De digitale wereld is een bron van ongekende kansen. Tegelijkertijd is het een speelveld voor steeds geavanceerdere cyberaanvallen. De Europese NIS2-richtlijn wapent bedrijven en beschermt Europa tegen die groeiende cyberdreiging.
De NIS2-directive komt eraan
Onze samenleving raakt steeds dieper verweven met digitale technologieën. Netwerk- en informatiesystemen zijn de slagaders van modern zakendoen. Die vooruitgang brengt een reeks ongekende cyberrisico’s met zich mee. Met de ‘Network and Information System Directive’ of de NIS-richtlijn uit 2016 wapent Europa zich tegen bedreigingen die inherent zijn aan een sterk onderling verbonden wereld.
In de laatste jaren schakelden de digitale ontwikkelingen nog een versnelling hoger. Dat heeft onder andere te maken met de gevolgen van de coronapandemie, de oorlog tussen Rusland en Oekraïne, die ook in de cyberspace wordt uitgevochten, en innovaties die elkaar steeds sneller opvolgen. De cyberdreigingen namen door die evoluties massaal toe. Denk aan nieuwsberichten over ransomware- en andere cyberaanvallen bij grote bedrijven en stadsbesturen. Europa zag zich genoodzaakt om een opvolger te ontwerpen voor de NIS-richtlijn: de NIS2-directive.
EU-lidstaten moeten de vernieuwde richtlijn tegen 17 oktober 2024 omzetten naar nationale wetgeving. Dat wil niet zeggen dat jouw organisatie moet wachten om het beveiligingsbeleid op orde te brengen. We nemen je mee door de belangrijkste regels.
NIS2-richtlijn: voor welke bedrijven gelden de nieuwe beveiligingsnormen?
De oorspronkelijke wetgeving beperkte zich tot een klein aantal bedrijven die kritieke diensten leveren voor onze samenleving. Denk aan de financiële sector. De vernieuwde beveiligingsnormen daarentegen gelden voor een pak meer sectoren.
Europa heeft voor deze richtlijn een lijst van sectoren opgesteld, opgesplitst in twee categorieën:
1. Essentiële entiteiten
Dat zijn sectoren waar Europa over aanneemt dat de uitval van hun diensten een erg grote ontwrichtende impact heeft op de economie en de samenleving. Bedrijven in deze categorie vallen onder strenger toezicht. Er wordt zowel vóór als na een mogelijk cyberincident toezicht gehouden op de naleving van de verplichtingen.
Het gaat om bedrijven met minstens 250 medewerkers, een omzet van minstens 50 miljoen euro draaien, of een jaarlijks balanstotaal van 42 miljoen hebben, die in een van de volgende sectoren actief zijn: energie, transport, bankwezen, infrastructuur financiële markt, gezondheidszorg, drinkwater, digitale infrastructuur, beheerders van ICT-diensten, afvalwater, overheidsdiensten en ruimtevaart
Kleine nuance: In een aantal sectoren worden bedrijven als ‘essentieel” beschouwd, ongeacht hun omvang. Denk aan telecombedrijven, bedrijven die DNS-diensten aanbieden of overheidsdiensten.
2. Belangrijke entiteiten
Voor belangrijke entiteiten geldt een lichtere vorm van toezicht dat alleen achteraf plaatsvindt, bijvoorbeeld als er aanwijzingen voor niet-naleving van de wet zijn of als er een incident heeft plaatsgevonden.
Het gaat om bedrijven met minstens 50 medewerkers of een jaarlijkse omzet van 10 miljoen euro die in een van de volgende sectoren actief zijn: digitale aanbieders, post- en koeriersdiensten, afvalstoffenbeheer, levensmiddelen, chemische stoffen, onderzoek en de maakindustrie.
Een belangrijke zijnoot: recente cyberaanvallen over de hele wereld hebben het belang van continuïteit binnen cruciale toeleveringsketens aangetoond. Het NIS2-kader besteedt om die reden extra aandacht aan de supply chain. Bedrijven zullen verantwoordelijk zijn voor het aanpakken van cyberrisico’s binnen hun eigen toeleveringsketen.
Die vereiste zal een impact hebben op bedrijven die initieel niet onder de scope van de nieuwe Europese wetgeving vallen. Elk bedrijf dat aan de NIS2-voorwaarden moet voldoen kan namelijk een minimale cybersecurity-maturiteit opleggen aan de leverancier.
Welke verplichtingen brengt de nieuwe richtlijn met zich mee?
De Europese richtlijn is op te splitsen in drie grote verplichtingen.
1. Een zorgplicht
Organisaties moeten zelf een risicobeoordeling uitvoeren. Op basis van de resultaten moeten zij passende maatregelen nemen om hun diensten te optimaliseren en de vertrouwelijkheid van informatie te waarborgen.
2. Een meldingsplicht
De Europese richtlijn eist dat organisaties incidenten binnen een termijn van 24 uur rapporteren aan de toezichthoudende instantie. In België is dat het Centrum voor Cybersecurity België (CCB).
De meldingsplicht moet er onder andere voor zorgen dat het Europees Agentschap voor Cyber Security (ENISA) een duidelijker beeld krijgt van het cybergeweld in Europa.
3. Toezicht
Organisaties die onder de richtlijn vallen komen onder toezicht te staan, waarbij wordt gekeken naar de naleving van de verplichtingen uit de richtlijn, zoals de zorg- en meldplicht.
Wat als mijn organisatie de voorwaarden van de NIS2-verordening schendt?
De straffen op het niet-naleven van de veiligheidsvoorschriften zijn niet min. Onder NIS 1 riskeerden bestuurders bij onverantwoorde praktijken een celstraf tot twee jaar. Ook de geldboetes voor een overtreding zijn niet te onderschatten. In tegenstelling tot zijn voorloper geeft de NIS2-directive een aanwijzing in hoe hoog administratieve boetes kunnen oplopen. De maximale hoogte van die boetes moet EU-lidstaten op ten minste 10 miljoen euro of 2% van de totale wereldwijde omzet leggen, afhankelijk van welk bedrag hoger is.
Wat kan mijn organisatie doen om klaar te zijn voor de nieuwe Europese wetgeving?
Het NIS2-kader mag in België dan nog niet omgezet zijn in wetgeving, toch is het geen overbodige luxe om de filosofie van de richtlijn al om te zetten in de praktijk. “Cybersecurity is een mindset”, zegt Bart Loeckx, Head of Solutions bij Telenet Business. Hij benadrukt dat bedrijven bij elke beslissing of handeling zichzelf de vraag moeten stellen of alles veilig verloopt. “Dat start bij: ‘Ben ik voldoende beschermd tegen bedreigingen?’ tot ‘Wat zijn de procedures als er toch iets foutloopt?’”
De NIS2-richtlijn is volgens Bart vooral een handig kader dat kan dienen om risico’s tot het minimum te beperken en snel te kunnen reageren bij een incident.
Start de interne lobby
Om aan de voorwaarden van de NIS2-richtlijn te voldoen zijn investeringen vereist. Begin nu al met documenteren, uitleggen en lobbyen waarom het zo belangrijk is om niet te wachten op de implementatie van de Europese wetgeving. Op de website van CCB is een handig overzicht te vinden van de richtlijn.
Breng kritische processen in kaart
Waar zitten de kritische processen in jouw organisatie? Moeten die processen voldoen aan de voorwaarden van NIS2? Zijn die processen beveiligd? Waar kunnen verbeteringen worden aangebracht? Een beveiligingsbeoordeling kan helpen om zwakke punten te identificeren.
Implementeer een risicomanagementsysteem
Een risicomanagementsysteem is een gestructureerde aanpak die organisaties gebruiken om risico's te identificeren, te evalueren, te beoordelen en te beheren. Het is niet voldoende om processen uit te tekenen. Ook verantwoordelijkheden binnen de organisatie moeten duidelijk afgesproken worden. Wees aandachtig voor de bedrijfscontinuïteit. Is er een duidelijk back-upbeheer? Is er een procedure voor noodherstel? En wie neemt de verantwoordelijkheid tijdens een crisis?
Zet cyberveiligheid centraal in jouw organisatie
Hoe digitaal onze wereld ook wordt, de zwakste schakel blijft de mens. Elementaire cyberhygiëne is noodzakelijk doorheen heel de organisatie. Maak iedereen vertrouwd met zaken zoals multifactorauthenticatie of oplossingen voor continue authenticatie. Zorg ook voor beveiligde spraak- video- en tekstcommunicatie binnen je bedrijf.
Breng veiligheid van jouw toeleveringsketen in kaart
Het is niet omdat jij al je zaken netjes op orde hebt dat je geen risico meer loopt. Breng ook de beveiliging van je toeleveringsketen in kaart. Denk daarbij aan rechtstreekse leveranciers, maar ook aan dienstverleners van verwerving, ontwikkeling of onderhoud van netwerken.
Schrijf je in voor meer inspiratie*
Ontdek interviews, podcasts en andere content
Word uitgenodigd voor webinars, beurzen en netwerk-events
Download e-books en whitepapers
* We sturen je via e-mail op regelmatige basis onze content. Je ontvangt geen commerciële berichten of voorstellen. Uiteraard kan je op elk moment uitschrijven, of je voorkeuren aanpassen via de link onderaan elke e-mail. Door je in te schrijven aanvaard je het privacybeleid van Telenet.
