3 verplichtingen van NIS2

Wat is de impact op jouw bedrijf

28 september 2024 - 6 min

Vanaf 18 oktober 2024 treedt de nieuwe NIS2-richtlijn in werking. Het doel van deze richtlijn is om de cybersecurity van essentiële en belangrijke entiteiten binnen de Europese Unie te versterken.

 

De NIS2-richtlijn introduceert nieuwe verplichtingen op het gebied van cybersecurity, risicomanagement en incidentrespons.

 

De 3 verplichtingen van NIS2

De Europese richtlijn is op te splitsen in drie grote verplichtingen:

 

  1. een registratieplicht,
  2. een zorgplicht
  3. een meldingsplicht.

Voor organisaties die onder de Belgische NIS2-wet vallen, is het belangrijk om zo snel mogelijk de volgende maatregelen te nemen:  

We kunnen je gegevens niet ophalen. Maak zelf je keuze

1. Registratieplicht

Deze heb je

2. Zorgplicht

Deze heb je

3. Meldingsplicht

Deze heb je

1. Registratieplicht

Deze heb je

2. Zorgplicht

Deze heb je

3. Meldingsplicht

Deze heb je

Registratieplicht

Organisaties moeten zich zo snel mogelijk registreren bij het Centrum voor Cybersecurity België (CCB).

Zorgplicht

NIS2 eist een zorgvuldig beheer van verschillende cyberbeveiligingsrisico’s. NIS2-entiteiten zijn verplicht om zelf een risicoanalyse uit te voeren, hun kwetsbaarheden in kaart te brengen en passende maatregelen te nemen voor de beveiliging van hun IT-infrastructuur.

 

Denk hierbij aan incidenten behandelen, de IT-hygiëne verbeteren, back-upsystemen implementeren, bedrijfscontinuïteit waarborgen en kwetsbaarheden bekendmaken. 

Meldingsplicht

De NIS2-wet bepaalt dat essentiële en belangrijke entiteiten elk significant incident dat gevolgen heeft voor hun dienstverlening moeten melden aan het CCB.

 

Het melden van een significant incident gebeurt in verschillende stappen:

  • een vroegtijdige waarschuwing binnen de 24 uur na kennis van het incident,
  • een incidentmelding binnen de 72 uur na kennis van het incident,
  • een tussentijds verslag op verzoek van het CCB of van de betrokken overheid,
  • een eindverslag uiterlijk één maand na de incidentmelding of, indien het incident nog aan de gang is, een voortgangsverslag en binnen één maand na afhandeling het eindverslag. 

Bijkomende verplichtingen voor essentiële entiteiten

In België maakt het CCB bovendien een extra onderscheid tussen vier niveaus: small, basic, belangrijk en essentieel. Hoe hoger het niveau, hoe meer maatregelen erbij horen. 

Voorlopig vallen enkel de belangrijke en essentiële entiteiten onder de verplichtingen van de NIS2-wet. Op lange termijn is het wel de bedoeling dat elke organisatie in België, ook kmo’s, minstens het basic-niveau bereiken. 

 

Organisaties die gecategoriseerd worden als belangrijk of essentieel zijn dus verplicht om vanaf 18 oktober 2024 maatregelen te nemen in lijn met de NIS2-richtlijn. Voor essentiële entiteiten gelden bovendien nog bijkomende verplichtingen zoals: 

 

  1. ze zijn onderhevig aan strengere controles die zowel gepland als onaangekondigd kunnen plaatsvinden,
  2. ze staan onder proactief toezicht door de inspectiedienst en worden dus niet enkel na een incident gecontroleerd,
  3. ze lopen het risico op zwaardere sancties bij non-compliance,
  4. ze moeten op elk moment relevante informatie of bewijsstukken kunnen voorleggen op vraag van de inspectiediensten. 

Maak je organisatie cyberveilig met Telenet Business

Wil je jouw team optimaal coachen om met NIS2 aan de slag te gaan? Onze experts helpen je graag verder.