Sinds januari 2023 is de Europese NIS2-richtlijn van kracht. Daardoor krijgt een veel groter aantal bedrijven en organisaties regels opgelegd rond de cyberbeveiliging van hun netwerken en informatiesystemen. Elke organisatie heeft de verantwoordelijkheid om te voldoen aan de nieuwe regelgeving.
IT als onmisbare schakel
Zonder IT-infrastructuur, digitale toepassingen en data kunnen overheidsorganisaties en bedrijven niet functioneren. IT geeft een enorme boost aan communicatiemogelijkheden, innovatie en efficiëntie. Tegelijk groeien ook de zorgen over de toegankelijkheid en de beveiliging van al die IT-voorzieningen. Niet alleen technische problemen, maar ook hackers vormen een groot risico nu we zo afhankelijk zijn van IT.
Uitgebreide regelgeving: NIS2-richtlijn van toepassing op tal van sectoren
De eerste Europese ‘Network and Information Security’ (NIS1) richtlijn was in België vanaf 2019 van toepassing op organisaties met een essentiële dienstverlening, zoals telecombedrijven en waterleveranciers. Zij kregen daardoor verplichtingen opgelegd rond het niveau van hun cyberbeveiliging. In de nieuwe NIS2-richtlijn is de reikwijdte van de regelgeving sterk uitgebreid naar een veel groter aantal sectoren en organisaties.
Het basisidee van de NIS2-richtlijn blijft gelijk aan die van haar voorganger. De bedoeling is om bedrijven bewust te maken van het belang van cybersecurity en daar ook de gepaste maatregelen rond te nemen. Daarnaast heeft dit als doel de Europese samenwerking op het vlak van cyberbeveiliging te versterken.
Cybersecurity verplicht optimaliseren
De bedrijven die in de vermelde sectoren actief zijn, zijn verplicht om strikte maatregelen te nemen voor een optimale cybersecurity. Ze moeten onder meer specifieke procedures en regels volgen rond incidentmelding en -behandeling, bedrijfscontinuïteit, encryptie en de beveiliging van hun toeleveringsketen. Bovendien zijn de sancties strenger en wordt het topmanagement van bedrijven sterk verantwoordelijk gesteld. Cybersecurity moet zo een nog belangrijker onderwerp worden binnen de directiekamer.
Nu de NIS2-richtlijn in het Europees Parlement is goedgekeurd en ook is gepubliceerd, heeft elke EU-lidstaat tot oktober 2024 de tijd om de directieve om te zetten in nationale wetgeving, inclusief het opleggen van boetes wanneer organisaties daar niet aan voldoen, te vergelijken met de GDPR-richtlijn die sinds 2016 van kracht is.
‘essentiële entiteiten’:
- grote ondernemingen vanaf 250 werknemers of met een jaaromzet van minstens 50 miljoen euro
- actief in een van de kritieke sectoren uit Bijlage I
- krijgen meer NIS2-controles en strengere sancties
- boetes tot 10 miljoen euro of minstens 2 procent van de wereldwijde jaaromzet
‘belangrijke entiteiten’:
- actief in een van de kritieke sectoren uit Bijlage I
- minstens 50 tot 250 werknemers of een jaaromzet van 10 tot 50 miljoen euro
- of ondernemingen met minstens 50 werknemers en activiteiten vermeld in Bijlage II van de richtlijn
- boetes tot 7 miljoen euro of ten minste 1,4 procent van de wereldwijde jaaromzet
Meldplicht van security-incidenten
Essentiële en belangrijke entiteiten moeten elk belangrijk security-incident direct melden bij de bevoegde nationale autoriteiten. In België is dat het Centrum voor Cybersecurity België (CCB). Het gaat om incidenten die een zware operationele of financiële impact hebben op de dienstverlening in de sectoren vermeld in de richtlijn. Een ernstig incident is ook wanneer het grote materiële, immateriële of fysieke schade kan veroorzaken aan andere natuurlijke of rechtspersonen.
Stappen van incidentmelding
- Uiterlijk binnen de 24 uur: waarschuwing met minimale informatie, onder meer over het risico op verspreiding naar andere sectoren of naar het buitenland, en over een eventueel vermoeden van kwaadaardig opzet.
- Uiterlijk binnen de 72 uur: volledige incidentmelding met alle beschikbare informatie.
- Een tussentijds verslag of een voortgangsverslag indien gevraagd door het CCB.
- Een maand na de eerste melding: een eindverslag. Als het incident dan nog niet is afgehandeld, is een tussentijds verslag verplicht na een maand en een eindverslag nadat het incident is afgerond.
Valt mijn bedrijf onder de NIS2-richtlijn?
De NIS2-richtlijn is er zowel voor overheidsorganisaties als commerciële bedrijven. De volledige lijst van geïmpacteerde sectoren en alle details staan online in Artikel 2, Artikel 3, Bijlage I en Bijlage II van de gepubliceerde richtlijn. Zo staan in Bijlage 1 de ‘zeer kritieke sectoren’ vermeld, waaronder energie, transport, infrastructuur voor de financiële markt, centrale en regionale overheden en de gezondheidszorg. Bij de kritieke sectoren horen onder meer afvalbeheer, chemie, productie en research. Ook bedrijven die in de toeleveringsketen van die (zeer) kritieke sectoren zitten, moeten aan de eisen rond cybersecurity voldoen.
Zeer kritieke sectoren en subsectoren
| Sector | Subsector |
|---|---|
| Energie | Elektriciteit, verwarming & koeling, gas, waterstof, olie |
| Transport | Via lucht, spoor, water, weg |
| Bank | Kredietinstellingen |
| Financiële markt en infrastructuur | Handelsplatformen, centrale partijen |
| Gezondheid | Zorgverleners, onderzoekslaboratoria, R&D, productie van farmaceutica |
| Drinkwater | Drinkwaterleveranciers |
| Afvalwater | Alleen als het een essentieel onderdeel is van de activiteit |
| Digitale infrastructuur | Vertrouwensdiensten, DNS service providers, naamregisters, digitale communicatiediensten, cloud service providers, datacenter service providers, content delivery netwerkleveranciers |
| ICT-service management (B2B) | Managed Service Providers, Managed Security Service Providers |
| Overheid | Centrale en regionale diensten, optioneel ook lokaal |
| Ruimtevaart | Operatoren van infrastructuur op de grond |
Andere kritieke sectoren en subsectoren
| Sector | Subsector |
|---|---|
| Post- en koerierdiensten | Aanbieders van post- en koerierdiensten |
| Afvalbeheer | Indien het de hoofdactiviteit is |
| Chemische producten | Productie en verdeling |
| Voeding | Productie, bewerking en verdeling |
| Productie | Medische apparaten, computers, elektronica, optica, elektrische toestellen, machines, motorvoertuigen, aanhangwagens, opleggers, andere transportmiddelen |
| Digitale diensten | online marktplaatsen, zoekmachines, sociale netwerken |
| Research | Onderzoeksorganisaties |
Elke organisatie is zelf verantwoordelijk
Het is belangrijk te weten dat de overheid niet actief zal communiceren naar de bedrijven waarop de richtlijn van toepassing is. Elke organisatie heeft dus de verantwoordelijkheid om zelf de criteria te bekijken en indien nodig de juiste stappen te nemen om te voldoen aan de nieuwe eisen.
Zware financiële sancties
Het valt nog af te wachten hoe de Belgische overheid de richtlijn in concrete nationale wetgeving zal omzetten. Ze heeft namelijk ook de bevoegdheid om eigen categorieën te creëren of het opleggen van boetes aan te passen voor overheidsorganisaties. De richtlijn vermeldt alvast zware financiële sancties voor het niet naleven van de regelgeving. Gezien de exponentiële toename van ingrijpende cybersecurity incidenten en het belang van een goed security en compliance beleid valt te verwachten dat de nationale invulling niet minder streng zal zijn dan de Europese richtlijn.
Het is dan ook aan te raden om niet te wachten tot het moment waarop de nationale wetgeving van kracht wordt. Net als ten tijde van de GDPR-regelgeving is het belangrijk om tijdig de nodige aanpassingen door te voeren. Dat is sowieso in het belang van elke organisatie, want cybersecurity is nu eenmaal geen overbodige luxe.
Wat is de uitdaging?
Om dit goed aan te pakken, nemen bedrijven best maatregelen op verschillende vlakken:
- beveiligingsrisico’s maximaal vermijden,
- de gevolgen van mogelijke problemen beperken,
- incidenten snel opsporen en rapporteren.
Alleen op die manier bent u in staat om de continuïteit van uw dienstverlening te optimaliseren. Dit kan bijvoorbeeld dankzij een proactieve 24/7 monitoring en bewaking van uw IT-systemen en netwerk, een degelijk incident response plan en security awareness trainingen van de medewerkers.
Bedrijven waar IT niet tot de kernactiviteiten behoort, staan duidelijk voor een grote en complexe uitdaging. Om zelf alle aanpassingen en het securitybeheer te voorzien, zijn heel wat investeringen nodig, niet alleen in software en tools maar ook in kennis en processen. En vaak hebben bedrijven daarvoor niet de nodige budgetten en/of de specifieke IT-expertise zelf in huis.
Verantwoordelijkheid uitbesteden
Door de verantwoordelijkheid over de cybersecurity uit te besteden aan een ISO 27001-gecertificeerde Managed Service Provider (MSP) zoals Cheops, kunnen bedrijven ervoor zorgen dat ze snel op een toegankelijke, kostenefficiënte en flexibele manier voldoen aan de NIS2-regelgeving.
Via Managed Security Services begeleidt Cheops organisaties naar een performante cybersecurity - van doorlichting en uitvoering tot proactieve monitoring en snelle respons bij incidenten.
Met Security Audits, Security Awareness training voor medewerkers, 24x7 monitoring door het Security Operations Center (SOC) van Cheops en een Incident Response Plan op maat bent u zeker dat u alle richtlijnen correct volgt. Zo kunt u zelf blijven focussen op uw eigen business en de groei van uw onderneming.
Tijd om uw cybersecurity aanpak te verbeteren?
Cheops zorgt ervoor dat uw IT-beveiliging perfect in orde is, zodat u zich nergens zorgen over hoeft te maken.