NIS2 verscherpt cybersecurity-
verplichtingen

De NIS2-richtlijn (Network and Information Systems) voegt aan de bestaande regelgeving een reeks verplichtingen toe. Het toepassingsgebied is ook uitgebreid naar meer sectoren en bedrijven.

De nieuwe regelgeving werd recent omgezet in Belgisch recht en treedt vanaf 18 oktober 2024 in werking. In België vallen zo’n 2.400 bedrijven of organisaties onder het toepassingsgebied van deze verstrengde regelgeving.

Op wie is NIS2 van toepassing?

Het aantal bedrijven en organisaties die onder NIS2 vallen, is flink toegenomen sinds de eerste NIS-richtlijn in 2016. Het gaat onder meer om bedrijven die actief zijn in de sectoren opgenomen in bijlage I en II van NIS2.

Daarnaast moet een bedrijf een essentiële entiteit of een belangrijke entiteit zijn volgens bepaalde criteria.

Essentiële entiteit

• Het bedrijf moet actief zijn in een sector genoemd in bijlage I van NIS2, en
• een ‘grote’ organisatie zijn. Dat betekent bestaan uit 250 personen of meer, of een jaaromzet van meer dan 50 miljoen euro en een balanstotaal boven 43 miljoen euro hebben.

Belangrijke entiteit

• Het bedrijf moet actief zijn in een sector genoemd in bijlage I van NIS2, en
• een ‘middelgrote’ organisatie zijn. Dat betekent bestaan uit 50 tot 249 personen en een jaaromzet van 10 tot 50 miljoen euro of een balanstotaal van 10 tot 43 miljoen euro hebben.

of

• Het bedrijf moet actief zijn in een sector genoemd inbijlage II van NIS2, en
• een grote of middelgrote organisatie zijn op basis van bovengenoemde criteria.

Strenger toezicht

Het voornaamste verschil tussen essentiële entiteiten en belangrijke entiteiten is dat essentiële entiteiten onder een intensiever regime van toezicht vallen. Het toezicht op de naleving van verplichtingen kan zowel vooraf als achteraf plaatsvinden.

Voor belangrijke entiteiten geldt een lichter regime. Het gaat om toezicht achteraf, of als er indicaties bestaan dat het bedrijf niet in overeenstemming is met NIS2 of bij incidenten.

Uitzonderingen

Op een aantal organisaties zijn de omvangcriteria niet van toepassing. Het gaat onder meer om aanbieders van openbare elektronische communicatienetwerken, DNS-dienstverleners, aanbieders die altijd als kritiek worden gezien of systeemrisico’s kennen en centrale overheidsinstanties.

Welke cybersecuritymaatregelen moet een bedrijf nemen?

NIS2 omschrijft welke maatregelen een bedrijf moet nemen voor het beheer van cyberbeveiligingsrisico’s. Het gaat onder meer om:

• Beleid inzake risicoanalyse en beveiliging van informatiesystemen
• Incidentenbehandeling
• Bedrijfscontinuïteit
• Beveiliging van de toeleveringsketen
• Beveiliging bij verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen
• Beleid en procedures om de effectiviteit van maatregelen inzake cyberbeveiligingsrisico’s te beoordelen
• Beleid en procedures inzake het gebruik van cryptografie en encryptie
• Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa
• Multifactor-authenticatie (wanneer gepast)
• Beleid rond de bekendmaking van kwetsbaarheden

Dat leunt allemaal sterk aan bij het informatieveiligheidsbeleid dat wordt opgelegd door GDPR en ISO 27001. Het grote verschil is wel dat bedrijven onderworpen worden aan een regelmatige conformiteitsbeoordeling om te zien of ze voldoen aan de vereisten van deze regelgeving.

Uitgebreide meldplichten

NIS2 ziet ook toe op de uitwisseling en ontvangst van informatie met en door de juiste instantie. Zo kent NIS2 uitgebreide meldplichten. Bedrijven moeten incidenten binnen de 24 uur melden bij de juiste instanties. Die melding wordt gezien als een vroegtijdige waarschuwing, want er zijn nog aanvullende meldplichten. Zo moet een daadwerkelijke incidentmelding binnen de 72 uur gebeuren en moet er binnen één maand een verslag volgen met een beschrijving van het incident, de oorzaak, de genomen maatregelen en de gevolgen ervan.

Meer betrokkenheid van het bestuur

NIS2 heeft ook gevolgen voor de governance van bedrijven. De bedoeling is dat het bestuur van bedrijven meer betrokken wordt bij cyberveiligheid en daar ook verantwoordelijk voor gehouden wordt. Door bestuursleden op te leiden is er aandacht voor de kennis van cyberbeveiliging. Het bestuursorgaan is mee aansprakelijk voor mogelijke inbreuken door de betrokken bedrijven op deze regelgeving. Uit de toelichting van de wet kunnen we opmaken dat dit betrekking heeft op zowel de leden van de raad van bestuur, het operationeel management als op aandeelhouders.

Strenge sancties

NIS2 wordt soms omschreven als ‘de GDPR van de cybersecurity’. Dat komt onder meer door de hoge boetes die opgelegd kunnen worden voor inbreuken.

• Bij essentiële entiteiten gaat het om maximaal 10 miljoen euro of 2% van de jaaromzet.
• Bij belangrijke entiteiten om 7 miljoen euro of 1,4 % van de jaaromzet.

Hoe kan Moore u helpen?

U kan op ons rekenen voor advies en begeleiding bij verschillende onderdelen van een NIS-compliance traject:

• Aflijnen of uw bedrijf of organisatie wel degelijk onder het toepassingsgebied valt van NIS2.
• Samen met uw intern team een gap en risicoanalyse uitvoeren om na te gaan wat er moet gebeuren om in regel te zijn met de vereisten van NIS2.
• Evalueren of er een uitgewerkt beleid bestaat en het zo nodig uitwerken in procedures/policies en voldoende documenteren. Dat kan gebeuren binnen het kader van een ISO 27001-traject, maar het hoeft zich daar niet toe te beperken.
• Opzetten van een gestructureerd business continuity plan
• Screenen van contracten met externe partijen zoals ICT-partners of cloudproviders.
• Stroomlijnen van de verantwoordelijkheden en aansprakelijkheden binnen het bestuursorgaan. Indien nodig voorzien in formele delegaties voor bepaalde taken.
• Opleiding en awareness training voorzien voor medewerkers en bestuurders.

Aarzel zeker niet om contact met ons op te nemen. We zijn er voor u.