Wat bij non-compliance NIS2?

Gevolgen van niet-naleving voor organisaties

01 oktober 2024 - 7 min

De NIS2-richtlijn legt strikte eisen op aan Europese bedrijven, maar wat zijn de gevolgen als je deze wetgeving overtreedt? Wat gebeurt er als je de deadline niet haalt? En wat is de rol van de CIO binnen dit kader? 

Hoe wordt mijn organisatie gecontroleerd?

Op basis van hun categorie worden entiteiten gecontroleerd op het naleven van de NIS2-verplichtingen: 

  • Belangrijke entiteiten staan onder reactief toezicht. Zij worden enkel gecontroleerd na een incident of op basis van aanwijzingen dat de organisatie de wet niet naleeft.
  • Essentiële entiteiten staan onder reactief én proactief toezicht. Zij kunnen op elk moment, en onaangekondigd, gecontroleerd worden. Ook als er nog geen incident heeft plaatsgevonden. 

De controle van de essentiële entiteiten verloopt daarentegen wel gradueel. Organisaties moeten pas vanaf april 2026 de eerste verplichte beoordelingen voorleggen. De concrete tijdslijn en verplichtingen kan je hier in detail terugvinden. 

 

De controles kunnen op verschillende manieren gebeuren zoals:

inspectie ter plaatse

toezicht ter plaatse

onaangekondigde audits

beveiligingsscans

informatie of bewijsmateriaal voorleggen

De gevolgen van het niet naleven

Organisaties die onder de NIS2-wetgeving vallen, moeten aan strikte eisen voldoen. Bij nalatigheid riskeren ze ernstige gevolgen. De administratieve boetes beginnen vanaf 500 euro en lopen op tot 10 miljoen euro. Daarnaast kan het Centrum voor Cybersecurity België (CCB) aanvullende maatregelen treffen, zoals het benoemen van een controlefunctionaris, het opschorten van een vergunning of het tijdelijk verbieden van de uitoefening van een leidinggevende functie.


Naast de administratieve boetes en maatregelen die het CCB oplegt, kan non-compliance ook andere gevolgen hebben voor je onderneming zoals:

 

  1. een gerichte cyberaanval met downtime of gegevensverlies tot gevolg,
  2. reputatieschade en klantenverlies, hoge kosten voor het herstellen van de bedrijfscontinuïteit. 

De rol en aansprakelijkheid van de CIO

Binnen elke organisatie speelt de Chief Information Officer (CIO) een centrale rol bij de naleving van de NIS2-wetgeving. De CIO is niet alleen verantwoordelijk voor de strategie en implementatie van informatiesystemen, maar ook voor de beveiliging daarvan. Maar die verantwoordelijkheid stopt niet bij de CIO alleen, ook andere leidinggevenden en de raad van bestuur kunnen persoonlijk aansprakelijk gesteld worden bij non-compliance. In het kader van de NIS2-wetgeving komen daar specifieke verantwoordelijkheden bij kijken zoals: 

  • het opnemen en implementeren van proactief risicobeheer voor netwerk- en informatiebeveiliging,
  • persoonlijke aansprakelijkheid bij nalatigheid,
  • nauwe samenwerking tussen alle managers en de volledige raad van bestuur om ervoor te zorgen dat de verplichtingen geïmplementeerd en nageleefd worden.

Hoe kan Telenet Business jou helpen?

Wil je jouw team optimaal coachen om met NIS2 aan de slag te gaan? Onze experts helpen je graag verder.