De nieuwe Europese NIS2-richtlijn is een veelbesproken onderwerp doordat het zoveel sectoren en bedrijven zal treffen. We leggen uit welke organisaties wel en niet onder de richtlijn vallen.
Wat is NIS2? NIS2 (Network and Information Security) is een Europese richtlijn die organisaties verplicht maatregelen te nemen om het niveau van cyberveiligheid te verhogen in Europa. Het is onderdeel van een bredere strategie om de samenleving te beschermen tegen cyberbedreigingen, zodat burgers en bedrijven optimaal kunnen profiteren van de voordelen van digitale technologieën. Tegen uiterlijk 17 oktober 2024 dient deze richtlijn omgezet te zijn in Belgisch recht. Non-compliance, of het niet voldoen aan deze wet, kan leiden tot hoge boetes en enorme reputatieschade.
IT als ruggengraat van economie en samenleving
Coresystemen als ERP en CRM als digitale motor, de automatisering van tal van operationele en businessprocessen, digitale interne en externe communicatie, data als zuurstof voor procesoptimalisatie en innovatie zoals AI: IT is tegenwoordig de ruggengraat van iedere organisatie. Cybersecuritydreigingen vormen echter een steeds groter probleem, getuigen recente nieuwskoppen als ‘Een op de drie bedrijven had afgelopen jaar minstens één cybersecurity-incident’, ‘AI en cloud zorgen voor een heviger strijdtoneel’ en ‘Te weinig beveiligingstalent leidt tot meer incidenten’. In 2025 zal de schade door cybersecurity-incidenten wereldwijd zo’n 10 biljoen dollar zijn, zo schat verzekeraar Allianz in zijn recente Risk Barometer.
De EU ziet in dat IT niet alleen de ruggengraat is van individuele organisaties, maar ook van onze gehele economie en samenleving. De NIS2-richtlijn heeft als doel de cybersecurity in de EU te verhogen en de digitale weerbaarheid te verbeteren. Zo zullen bedrijven moeten focussen op het aanscherpen van opgelegde beveiligingseisen, het aanpakken van de beveiliging van supply chains, het verbeteren en stroomlijnen van rapportageverplichtingen.
Meer sectoren, strengere normen
NIS2 is, zo hebben we eerder toegelicht, de opvolger van de Network and Information Security-richtlijn (NIS). De oorspronkelijke NIS-richtlijn, die in 2016 van kracht werd als de allereerste EU-wetgeving voor cyberbeveiliging, werd in België omgezet in de NIS-wet van 7 april 2019. Deze nieuwe richtlijn is van toepassing op kritieke en zeer kritieke sectoren binnen de Europese Unie.
Waar NIS zich richtte op sectoren als energie, bankwezen, transport, gezondheidszorg en digitale diensten, is NIS2 nu uitgebreid met een veel groter aantal sectoren en organisaties. Denk bijvoorbeeld aan transport (lucht, spoor, water, weg), afvalstoffenbeheer, vervaardiging, productie en distributie van chemische stoffen, de voedingsindustrie, vervaardiging van medische hulpmiddelen en meer.
De grootste verschillen tussen NIS2 en zijn voorganger
- Enorme uitbreiding van het aantal organisaties en sectoren die onder de wet vallen
- Meer specifieke maatregelen
- Uitgebreidere regels rond incidentmelding
- Hogere boetes
- Sterke responsabilisering van het topmanagement van elke organisatie zodat cybersecurity een prioriteit wordt in de Raad van Bestuur.
Impact op de keten
De meeste organisaties zullen te maken krijgen met NIS2. Als klanten van bedrijven aan de richtlijn moeten voldoen, zullen ze hun toeleveranciers laten auditen om ook de toeleveringsketen te beschermen. De richtlijn legt namelijk verplichtingen op aan organisaties om te zorgen voor compliance binnen de gehele keten.
Essentiële en belangrijke entiteiten
Binnen de nieuwe richtlijn, die uiterlijk in oktober 2024 door alle EU-lidstaten moet zijn geïmplementeerd, wordt er een onderscheid gemaakt tussen essentiële en belangrijke entiteiten. Essentiële entiteiten zijn grote organisaties in zeer kritieke sectoren waarvan een verstoring van de dienstverlening serieuze consequenties heeft voor onze economie of maatschappij.
De belangrijke entiteiten zijn grote en middelgrote ondernemingen in kritieke sectoren. Onderbrekingen in de dienstverlening van deze organisaties kunnen aanzienlijke gevolgen hebben, maar zijn minder ingrijpend dan bij de essentiële entiteiten.
Tot slot kan de verantwoordelijke minister ook bepalen dat bepaalde kleine en microbedrijven onder de reikwijdte vallen.
Is mijn organisatie essentieel of belangrijk?
Of uw organisatie essentieel of belangrijk is, hangt dus af van de sector en uw organisatiegrootte. De volledige tekst van de NIS2, inclusief alle sectoropsommingen van de Bijlages I en II, is op deze EU-website te vinden.
Essentiële entiteiten
Uw organisatie is een essentiële entiteit als u:
- Actief bent in een van de zeer kritieke sectoren die worden genoemd in Bijlage I.
- Een grote organisatie bent met minimaal 250 medewerkers of een jaaromzet heeft van minstens 50 miljoen euro.
In Bijlage I van NIS2 worden elf sectoren genoemd. Denk aan sectoren als vervoer, gezondheidszorg, energie, digitale infrastructuur, drink- en afvalwater, overheid, (infrastructuur voor) finance, beheer van business-to-business ICT-diensten en ruimtevaart.
Belangrijke entiteiten
Wordt u als belangrijke entiteit beschouwd? Daarvan is sprake als u:
- Een middelgrote onderneming bent in een zeer kritieke sector uit Bijlage I, wat wil zeggen dat u minstens 50 en maximaal 250 werknemers of een jaaromzet van 10 tot 50 miljoen euro heeft;
- Een grote of middelgrote onderneming bent binnen een kritieke sector uit Bijlage II.
Niet alleen binnen de kantoormuren
Het is belangrijk om te weten dat de NIS2-vereisten niet alleen gelden voor uw kantooromgeving, maar ook voor digitale werkprocessen die elders plaatsvinden, zoals thuiswerken, remote locaties of onderweg. De impact van deze regelgeving op de veiligheid en integriteit van uw bedrijfsactiviteiten is enorm. De naleving van NIS2 is dus cruciaal, ongeacht de locatie waar het werk wordt uitgevoerd.
Bepaalde micro- en kleinbedrijven
In principe vallen micro- en kleinbedrijven niet onder de dekking van NIS2. Blijkt uit een risicobeoordeling dat de dienstverlening van zo’n bedrijf cruciaal is voor de Belgische economie of maatschappij? Dan kan de verantwoordelijke minister bepalen dat het bedrijf tóch moet voldoen aan de richtlijn. Het gaat dan bijvoorbeeld om aanbieders van domeinnaamregistraties en elektronische communicatiediensten. Het bedrijf in kwestie wordt hier tijdig over geïnformeerd.
Meldplicht en sancties
In essentie moeten organisaties aan twee zaken voldoen, namelijk zorgplicht en meldplicht. Naast een zorgplicht, die we hierna uiteenzetten, hebben organisaties op wie de richtlijn van toepassing is ook een meldplicht. Ieder belangrijk security-incident moet direct worden gemeld bij het Centrum voor Cybersecurity België (CCB). Op non-compliance staan zware financiële sancties, die al snel in de miljoenen euro’s kunnen lopen. Meer informatie over onder andere de meldplicht en de sancties is te vinden in een eerder NIS2-artikel.
Wat is zorgplicht en wat houdt het precies in?
De zorgplicht betekent dat organisaties verplicht zijn om passende en proportionele technische en organisatorische maatregelen te treffen om de beveiliging van hun netwerk- en informatiesystemen te waarborgen. Deze verplichting houdt in dat organisaties actief moeten werken aan het voorkomen, detecteren, en reageren op cyberdreigingen en -incidenten om de continuïteit van de dienstverlening te garanderen en de impact op zowel interne als externe belanghebbenden te minimaliseren.
- Risicobeoordeling: Voer regelmatig uitgebreide risicobeoordelingen uit om potentiële cybersecurityrisico's voor uw organisatie te identificeren. Dit helpt bij het bepalen van de noodzakelijke beveiligingsmaatregelen die moeten worden geïmplementeerd.
- Implementeer passende beveiligingsmaatregelen: Op basis van de risicoanalyse, implementeer de vereiste technische en organisatorische maatregelen om de geïdentificeerde risico's te beheren en te verminderen. Dit kan variëren van het versterken van de netwerkbeveiliging tot het trainen van personeel in cybersecuritybewustzijn.
- Incidentmanagement en herstelplanning: Ontwikkel en onderhoud een doeltreffend incidentmanagementproces en herstelplannen om snel en effectief te kunnen reageren op beveiligingsincidenten.
- Meldingsplicht naleven: Zorg ervoor dat u de procedures voor het melden van beveiligingsincidenten begrijpt en naleeft, zoals vereist door NIS2. Dit betekent dat u in staat moet zijn om incidenten tijdig te detecteren, te beoordelen en te melden aan, in het geval van een Belgische context, het Center for Cyber security Belgium.
- Bewustzijn en training: Verhoog het bewustzijn over cybersecurity binnen uw organisatie door regelmatige training en bewustmakingscampagnes te organiseren. Dit helpt om een cultuur van cybersecurity te creëren waarin medewerkers de risico's begrijpen en weten hoe ze moeten handelen.
- Supply chain beveiliging: Evalueer de beveiligingspraktijken van uw leveranciers en partners om te zorgen dat zij ook voldoen aan de vereisten van NIS2, vooral gezien de nadruk op supply chain beveiliging in de richtlijn.
- Voortdurende evaluatie en verbetering: Cybersecurity is geen eenmalige taak, maar een voortdurend proces. Evalueer regelmatig de effectiviteit van uw beveiligingsmaatregelen en pas ze aan als reactie op nieuwe bedreigingen of veranderingen in de organisatie. Een ervaren Managed Services Provider zoals Cheops heeft deze stappen opgenomen in de dienstverlening en kan u ondersteunen in uw weg naar compliance.
Snel beginnen is key
De NIS2-richtlijn moet uiterlijk op 17 oktober 2024 omgezet zijn in Belgisch recht en moet van toepassing zijn op 18 oktober 2024. Dan gelden de NIS2-verplichtingen dus voor organisaties die voldoen aan de beschrijvingen. Het opstellen van nieuwe beleidsregels, procedures en governancestructuren vereist veel tijd en intensief denk- en overlegwerk. Waar u ook tijdig mee moet beginnen: cybersecuritytrainingen en het vormgeven van een securitycultuur. Security is immers een mindset.
In andere woorden: de tijd dringt. Vooral voor bedrijven die zelf weinig IT-expertise in huis hebben is het lastig om de eerste stappen te zetten. De verantwoordelijkheid voor cybersecurity uitbesteden aan een ISO 27001-gecertificeerde Managed Service Provider (MSP) zoals Cheops is dan een uitkomst.
Cybersecurity in goede handen
De Security Audits van Cheops zijn bijvoorbeeld ideaal om de huidige stand van zaken te bepalen, waarna we samen met u een roadmap voor compliance kunnen uitstippelen. Met onze Managed Security Services is uw cybersecurity in goede handen. Dankzij onze diensten Managed Security Awareness en Managed Cyber Defense, met 24x7 monitoring door ons Security Operations Center (SOC) en een Security Incident Response Plan op maat bent u niet alleen optimaal beschermd, maar ook te allen tijde NIS2-compliant.
Tijd om uw cybersecurity aanpak te verbeteren?
Cheops zorgt ervoor dat uw IT-beveiliging perfect in orde is, zodat u zich nergens zorgen over hoeft te maken.