Op 16 januari 2023 betrad de NIS2-richtlijn van de Europese Unie officieel het toneel, en lidstaten hebben tot 17 oktober 2024 de tijd om deze richtlijnen om te vormen naar wetten op nationaal niveau. Maar wat is deze richtlijn nu precies en waarom zou je als bedrijf moeten voldoen aan deze Europese cybersecurity richtlijn? Daar zoom ik in deze blog op in.
Het belang van de NIS2-richtlijn
Cybersecurity is hot, en dat is logisch. Onze bedrijfssystemen zijn immers erg afhankelijk van digitale technologie. De NIS2-richtlijn (waarbij NIS staat voor ‘Network and Information Security directive’) is een belangrijke stap in de richting van een betere bescherming van deze digitale systemen en gegevens in de Europese Unie. De richtlijn heeft 3 doelen:
- Nationale overheden verplichten om aandacht aan cybersecurity te geven;
- Europese samenwerking versterken tussen de cybersecurity autoriteiten;
- De belangrijkste operatoren in de belangrijkste sectoren van de samenleving verplichten om veiligheidsmaatregelen te nemen en incidenten te melden.
Welke kmo’s en organisaties vallen onder de NIS2-richtlijn?
De NIS2-richtlijn richt zich op specifieke sectoren en types van dienstverleners. Deze worden opgesomd in de bijlagen van de richtlijn. De richtlijn is ook pas van toepassing als organisaties een bepaalde grootte hebben.
De zeer kritieke sectoren (bijlage I van de richtlijn) zijn:
- Energie
- Transport
- Bankwezen
- Infrastructuur van de financiële markten
- Gezondheidszorg (ziekenhuizen, referentielaboratoria, vervaardigers van medische hulpmiddelen of farmaceutische bereidingen en andere)
- Drinkwater
- Afvalwater
- Digitale infrastructuur
- Beheerders van ICT-diensten
- Overheidsdiensten
- Ruimtevaart
Andere kritieke sectoren (bijlage II van de richtlijn) zijn:
- Post- en koeriersdiensten
- Afvalstoffenbeheer
- Levensmiddelen
- Chemische stoffen
- Onderzoek
- Leveranciers van digitale diensten
- Vervaardiging (van medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek; informaticaproducten en van elektronische en optische producten; elektrische apparatuur; machines en apparaten en werktuigen n.e.g., motorvoertuigen, aanhangers en opleggers; andere transportmiddelen)
Op specifieke uitzonderingen na zijn kleine en micro-ondernemingen (met minder dan 50 werknemers en een jaaromzet (of jaarlijks balanstotaal) van minder dan 10 miljoen euro – cumulatieve voorwaarden) van het toepassingsgebied van de richtlijn uitgesloten.
Het verschil tussen essentiële en belangrijke entiteiten zit vooral in de strengheid van het toezicht en de sancties. Essentiële entiteiten zullen strenger gecontroleerd en gesanctioneerd worden dan belangrijke entiteiten.
- Essentiële entiteiten zijn grote organisaties uit de zeer kritieke sectoren (lijst 1). Een grote organisatie heeft ten minste 250 werknemers OF een jaaromzet van ten minste 50 miljoen euro of een balanstotaal vanten minste 43 miljoen euro.
- Belangrijke entiteiten zijn middelgrote organisaties uit de zeer kritieke sectoren (lijst 1) of middelgrote of grote organisaties uit lijst 2. Een organisatie is middelgroot als ze minimaal 50 werknemers tewerk stelt OF een jaaromzet of balanstotaal heeft van meer dan 10 miljoen euro.
Op de website van het Centrum voor Cybersecurity België vind je een uitgebreide versie van deze informatie terug, alsook een visuele voorstelling van de sectoren.
Je IT-infrastructuur NIS2-proof maken?
Ontdek hoe onze cybersecurity-experts je kunnen helpen om je IT-infrastructuur in lijn te brengen met de NIS2-richtlijn en je bedrijf te beschermen tegen cyberdreigingen.
Wat houdt de NIS2-richtlijn concreet in?
Wie binnen de scope van de NIS2-richtlijn valt, moet passende en evenredige maatregelen nemen om beveiligingsrisico’s in hun netwerk- en informatiesystemen in te perken, en om incidenten te voorkomen of de gevolgen ervan te beperken. Deze maatregelen omvatten ten minste:
- beleid inzake risicoanalyse en beveiliging van informatiesystemen;
- incidentenbehandeling;
- bedrijfscontinuïteit, zoals back-upbeheer, noodvoorzieningenplannen, en crisisbeheer;
- de beveiliging van de toeleveringsketen;
- beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
- basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
- beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
- beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
- wanneer gepast, het gebruik van multifactor authenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
De Europese NIS-samenwerkingsgroep zal binnenkort zijn richtlijnen over de beveiligingsmaatregelen bijwerken om de praktische reikwijdte van de verschillende beveiligingsdoelstellingen uit de richtlijn te verduidelijken. Op nationaal niveau zullen de bevoegde autoriteiten preciezer en praktischer kunnen beschrijven hoe aan deze beveiligingseisen moet worden voldaan.
Belangrijk om weten is dat ieder belangrijk incident verplicht moet gemeld worden bij de bevoegde nationale autoriteit. Voor België is dit het CCB. Ernstige incidenten hebben specifieke kenmerken, meldingen moeten specifieke informatie bevatten en vooral ook tijdig gebeuren.
Volledige incidentmeldingen moeten ten laatste binnen de 72 uur gebeuren nadat er kennis is over het incident. Het eindverslag moet binnen de maand na de indiening van de incidentmelding overgemaakt worden.
Inbreuken op het gebied van risicobeheersmaatregelen of incidentmeldingen kunnen worden bestraft met administratieve geldboeten.
- Voor essentiële entiteiten: administratieve geldboeten tot maximum 10 000 000 euro of ten minste 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de essentiële entiteit behoort, afhankelijk van welk bedrag hoger is.
- Voor belangrijke entiteiten: met administratieve geldboeten tot maximum 7 000 000 euro of ten minste 1,4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de belangrijke entiteit behoort, afhankelijk van welk bedrag hoger is.
- De lidstaten kunnen voorzien in de bevoegdheid om dwangsommen op te leggen om een essentiële of belangrijke entiteit te dwingen een inbreuk op deze richtlijn te staken in overeenstemming met een voorafgaand besluit van de bevoegde autoriteit.
- Om top management te sensibiliseren kunnen natuurlijke personen die essentiële entiteiten vertegenwoordigen aansprakelijk gesteld worden voor het niet navolgen van de verplichtingen in deze Richtlijn.
Deskundige begeleiding
Onze cybersecurity consultants staan klaar om je te begeleiden bij het begrijpen en implementeren van de NIS2-richtlijn in je organisatie. Samen zorgen we voor een sterke beveiligingsstrategie.
Welke acties kun je nu reeds ondernemen?
Om tijdig in overeenstemming te zijn met de NIS2-richtlijn, kun je de volgende acties nu al ondernemen:
- Identificeer of jouw bedrijf als een exploitant van essentiële diensten wordt beschouwd volgens de richtlijn (zie: kritieke sectoren).
- Implementeer passende cybersecuritymaatregelen om de beveiliging van je systemen te versterken. Je kunt hiervoor starten met een IT & Cybersecurity audit.
- Werk nu al samen met de nationale autoriteiten en meld incidenten.
- Zorg voor een focus op cybersecurity binnen jouw organisatie en investeer in bewustmakings- en trainingsprogramma’s.
De NIS2-richtlijn is een krachtig instrument om de cybersecurity maturiteit van onze Europese bedrijven te versterken. Het benadrukt het belang van samenwerking, veerkracht en verantwoordelijkheid om de veiligheid en integriteit van onze digitale samenleving te waarborgen. We adviseren ook bedrijven uit niet-kritieke sectoren om zich passend te beschermen en zo hun digitale continuïteit te verzekeren.
Wil je informeren naar de mogelijkheden van onze IT & cybersecurity audits of adviestrajecten? Plan dan je call of videocall met één van onze teamleden.
***In dit artikel geven we de kernprincipes van de NIS2-richtlijn weer. Let wel dat de concrete vertaling naar België als lidstaat nog moet gebeuren. Je kunt de volledige richtlijn via deze link lezen.***