Europese NIS2-richtlijn

Vanaf januari 2023 moeten bedrijven en organisaties zich houden aan de Europese NIS2-richtlijn, wat betekent dat er meer regels zijn voor de beveiliging van hun netwerken en informatiesystemen. Het is de verantwoordelijkheid van elke organisatie om te voldoen aan deze nieuwe voorschriften.

 

IT: Kansen en risico’s

Overheidsorganisaties en bedrijven zijn afhankelijk van IT-infrastructuur, digitale toepassingen en data om te kunnen functioneren. IT biedt veel voordelen, zoals betere communicatie, innovatie en efficiëntie. Echter, er zijn ook zorgen over de veiligheid en toegankelijkheid van deze IT-voorzieningen. Niet alleen technische problemen, maar ook hackers vormen een groot risico nu we zo afhankelijk zijn van IT.

NIS2: Nieuwe Fase in Cyberbeveiliging

Vanaf 2019 was de eerste Europese richtlijn “Network and Information Security” (NIS1) van toepassing op organisaties die essentiële diensten leveren, zoals telecommunicatiebedrijven en waterleveranciers in België. Zij waren verplicht om te voldoen aan bepaalde cybersecurity-eisen. De reikwijdte van de regelgeving is sterk uitgebreid in de nieuwe NIS2-richtlijn, die nu een breder scala aan sectoren en organisaties omvat.

De NIS2-richtlijn heeft als doel om bedrijven bewust te maken van het belang van cybersecurity en hen aan te moedigen de passende maatregelen te toe te passen ter bescherming van hun systemen en gegevens. Bovendien beoogt de richtlijn de samenwerking tussen Europese lidstaten op het gebied van cyberbeveiliging te versterken, met als uiteindelijke doel om de digitale weerbaarheid van de gehele EU te verbeteren en zo bij te dragen aan een veiliger digitaal landschap voor ons allemaal.

Verplichtingen en sancties onder NIS2 Cyberbeveiligingsrichtlijn

Bedrijven die actief zijn in de genoemde sectoren zijn verplicht om strenge maatregelen te nemen om optimale cybersecurity te waarborgen. Dit omvat onder andere het volgen van specifieke procedures en regels voor incidentmelding en -behandeling, bedrijfscontinuïteit, encryptie en de beveiliging van hun toeleveringsketen. Daarnaast zijn de sancties strenger en wordt het topmanagement van bedrijven sterk verantwoordelijk gehouden. Cybersecurity moet daarom een nog belangrijker onderwerp worden binnen de directiekamer.

Met de goedkeuring en publicatie van de NIS2-richtlijn in het Europees Parlement hebben alle EU-lidstaten tot oktober 2024 de tijd om deze richtlijn om te zetten in nationale wetgeving. Dit omvat ook het opleggen van boetes aan organisaties die niet voldoen aan de richtlijn, vergelijkbaar met de GDPR-richtlijn die sinds 2016 van kracht is.

Essentiële organisaties

Belangrijke organisaties

Meldingsplicht bij belangrijke beveiligingsincidenten

Belangrijke en essentiële organisaties zijn verplicht om elke belangrijke beveiligingsincident onmiddellijk te melden aan de bevoegde nationale autoriteiten. In België is dit het Centrum voor Cybersecurity België (CCB). Dit geldt voor incidenten die een zware operationele of financiële impact hebben op de dienstverlening in de sectoren die worden vermeld in de richtlijn. Een incident wordt als ernstig beschouwd als het grote materiële, immateriële of fysieke schade kan veroorzaken aan andere natuurlijke of rechtspersonen.

Procedure voor het melden van incidenten

  • Binnen 24 uur na het ontdekken van een incident moet er een waarschuwing worden gegeven met minimale informatie, waaronder het risico op verspreiding naar andere sectoren of naar het buitenland, en over een eventueel vermoeden van kwaadwillende bedoelingen.
  • Binnen 72 uur na het incident moet er een volledige melding worden gedaan met alle beschikbare informatie.
  • Een maand na de eerste melding moet er een eindverslag worden ingediend. Als het incident op dat moment nog niet is afgehandeld, is er na een maand een tussentijds verslag vereist en na afronding van het incident een eindverslag.

De impact van NIS2 op verschillende sectoren

De NIS2-richtlijn, die van invloed is op een breed scala aan sectoren, is van toepassing op zowel overheidsentiteiten als commerciële bedrijven. In de volledig gepubliceerde richtlijn zijn alle nuances en details opgenomen, waaronder een uitputtende lijst van de sectoren die worden beïnvloed door deze regelgeving. Deze details en de volledige lijst van betrokken sectoren zijn specifiek beschreven in Artikel 2* en Artikel 3*, alsook in Bijlage I* en Bijlage II* van de richtlijn.

Bijlage I van de richtlijn identificeert de ‘zeer kritieke sectoren’. Dit zijn sectoren van essentieel belang voor de functionering van onze maatschappij en economie, zoals energievoorziening, transport, infrastructuur voor de financiële markt, centrale en regionale overheden en de gezondheidszorg.

Daarnaast specificeert Bijlage II de zogenaamde ‘kritieke sectoren’, die ook een belangrijke rol spelen in de economie en het dagelijks leven. Enkele voorbeelden hiervan zijn afvalbeheer, de chemische industrie, productie- en onderzoeksbedrijven.

 

Het is belangrijk op te merken dat niet alleen bedrijven die direct in deze (zeer) kritieke sectoren opereren aan de eisen moeten voldoen. Ook bedrijven die zich in de toeleveringsketens van deze sectoren bevinden, moeten aan de cybersecurity eisen voldoen die in de NIS2-richtlijn worden gesteld. Dit betekent dat als een bedrijf diensten of producten levert aan een bedrijf in een (zeer) kritieke sector, zij ook hun cybersecurity op orde moeten hebben volgens de normen van de NIS2-richtlijn.

Eigen verantwoordelijkheid in naleving van de NIS2-richtlijn

Het is cruciaal om te begrijpen dat de overheid niet proactief informatie zal verstrekken aan bedrijven die onder de richtlijn vallen. Daarom ligt de verantwoordelijkheid bij elke organisatie om de criteria zelf te onderzoeken en, indien van toepassing, de noodzakelijke maatregelen te nemen om aan de nieuwe eisen te voldoen.

Proactieve aanpak van de NIS2-wetgeving

Het blijft onzeker hoe de Belgische overheid de richtlijn zal vertalen naar specifieke nationale wetgeving. De overheid heeft immers ook de autoriteit om eigen categorieën te definiëren of de boeteregeling voor overheidsorganisaties te wijzigen. De richtlijn zelf voorziet al in strenge financiële sancties voor het niet naleven van de regels. Gezien de sterke stijging van significante cybersecurity incidenten en het belang van een robuust beveiligings- en nalevingsbeleid, zou het logisch zijn dat de nationale interpretatie van de richtlijn minstens zo streng is als de Europese richtlijn.

Het is daarom raadzaam om niet te wachten tot de nationale wetgeving effectief van kracht wordt. Net zoals bij de implementatie van de GDPR-regelgeving, is het cruciaal om tijdig de noodzakelijke wijzigingen door te voeren. Dit is zonder meer in het belang van elke organisatie, aangezien cybersecurity allesbehalve een overbodige luxe is.

On IT’s Optimal Security 

Door de verantwoordelijkheid voor cybersecurity uit te besteden aan On IT! , kunnen bedrijven ervoor zorgen dat ze op een snelle, toegankelijke, kostenefficiënte en flexibele manier voldoen aan de NIS2-regelgeving.

Via ons “Optimal Security” pakket begeleidt On IT! organisaties naar een effectieve cybersecurity, van evaluatie en implementatie tot proactieve monitoring en snelle respons bij incidenten.

Met Security Audits, Security Awareness-training voor medewerkers, 24/7 monitoring door het Security Operations Center (SOC) van On IT! en een op maat gemaakt Incident Response Plan, kunt u er zeker van zijn dat u alle richtlijnen correct opvolgt. Op deze manier kunt u zich blijven concentreren op uw eigen bedrijfsactiviteiten en de groei van uw onderneming.

 

Wil je hier verder over praten? Stuur ons een aanvraag en we helpen je graag verder!