Wat betekent NIS-2 voor jouw bedrijf?
Cybersecurity

NIS2-richtlijn: wat betekent het voor jouw bedrijf?

04/07/2023 - 4 min read

In een vorig artikel vatten we het doel van de nieuwe NIS2-richtlijn al voor je samen. In dit artikel zoomen we dieper in op wat deze richtlijn concreet voor jouw bedrijf betekent. Want voor welke bedrijven (of entiteiten zoals het in de richtlijn zelf staat – dit gaat dus breder dan enkel bedrijven) is deze Europese richtlijn van toepassing en wat moet je dan precies doen? Je leest het in deze blog.

Belangrijk: op het moment van schrijven (juli 2023) is de Europese NIS2-richtlijn nog niet omgezet in een Belgische wet. Eens de Belgische wetgeving op punt staat, kunnen er dus nog afwijkingen of strengere normen worden ingevoerd.

Voor welke entiteiten is NIS2 van toepassing?

De NIS2-richtlijn is van toepassing op organisaties die actief zijn in een van de (sub)sectoren die worden vermeld in de bijlagen van de Europese richtlijn én van een bepaalde omvang zijn.

De sectoren in de scope van NIS2

De betrokken sectoren worden onderverdeeld in twee groepen:

  1. Zeer kritieke sectoren
  2. Andere kritieke sectoren

Zeer kritieke sectoren

  • energie (elektriciteit, stadsverwarming- en koeling, aardolie, aardgas, waterstof)
  • vervoer (lucht, spoor, water, weg)
  • bankwezen
  • infrastructuur van de financiële markten
  • gezondheidszorg (waaronder niet enkel meer de ziekenhuizen maar nu ook referentielaboratoria, vervaardigers van medische hulpmiddelen of farmaceutische bereidingen en andere)
  • drinkwater
  • afvalwater
  • digitale infrastructuur
  • beheer van ICT-diensten
  • overheid (centraal en regionaal)
  • ruimtevaart

Andere kritieke sectoren

  • post- en koerierdiensten
  • afvalstoffenbeheer
  • vervaardiging, productie en distributie van chemische stoffen
  • productie, verwerking en distributie van levensmiddelen
  • vervaardiging (van medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek; informaticaproducten en van elektronische en optische producten; elektrische apparatuur; machines en apparaten en werktuigen n.e.g., motorvoertuigen, aanhangers en opleggers; andere transportmiddelen)
  • leveranciers van digitale diensten
  • onderzoek

De omvang van de entiteit voor NIS2

Er komt een onderscheid tussen essentiële entiteiten en belangrijke entiteiten. Essentiële entiteiten zullen onderhevig zijn aan strengere controles en zwaardere sancties dan belangrijke entiteiten.

Essentiële entiteiten

Essentiële entiteiten zijn grote ondernemingen die behoren tot de zeer kritieke sectoren van hierboven.

Grote ondernemingen zijn ondernemingen met ten minste 250 werknemers OF met een jaaromzet van ten minste 50 miljoen euro, of een jaarlijks balanstotaal van ten minste 43 miljoen euro.

Belangrijke entiteiten

Belangrijke entiteiten zijn

  • middelgrote ondernemingen die actief zijn in de zeer kritieke sectoren

OF

  • grote of middelgrote ondernemingen in de andere kritieke sectoren die niet in de categorie essentiële entiteiten vallen (vanwege hun omvang of het type van de betrokken entiteit).

Een middelgrote onderneming heeft ten minste 50 werknemers OF een jaaromzet (of balanstotaal) van ten minste 10 miljoen euro, maar dus met minder dan 250 werknemers EN niet meer dan 50 miljoen euro omzet of 43 euro balanstotaal.

Uitzonderingen voor sectoren en entiteiten

Er kunnen ook specifieke uitzonderingen van kracht zijn op deze algemene regels. Bijvoorbeeld entiteiten die ongeacht hun omvang toch als essentieel beschouwd worden omdat een verstoring van de dienstverlening ernstige gevolgen zou hebben voor de veiligheid of volksgezondheid. Voor die uitzonderingen is het wachten op de Belgische wetgeving.

Wat moet je concreet doen?

Essentiële en belangrijke entiteiten die onder de scope van NIS2 vallen moeten de nodige maatregelen nemen om de beveiligingsrisico’s van hun netwerk- en informatiesystemen te beperken. Dit omvat:

  • het voorkomen van incidenten;
  • het beperken van de gevolgen van incidenten voor klanten en andere diensten.

Deze maatregelen zijn gericht op het beschermen van netwerk- en informatiesystemen, evenals de fysieke omgeving van die systemen, tegen verschillende dreigingen en incidenten.

De leidinggevenden van essentiële en belangrijke entiteiten hebben de verantwoordelijkheid om de maatregelen voor het beheer van cyberbeveiligingsrisico’s goed te keuren, toezicht te houden op de implementatie ervan en kunnen bovendien aansprakelijk worden gesteld bij inbreuken.

Om ervoor te zorgen dat ze een goed begrip hebben van de maatregelen die ze goedkeuren, moeten ze een cyberbeveiligingsopleiding volgen én op regelmatige tijdstippen vergelijkbare opleidingen aanbieden aan hun werknemers. Op die manier verwerven ze voldoende kennis en vaardigheden om risico’s te identificeren en de gevolgen ervan voor de organisatie juist in te schatten.

Verplicht melden van incidenten

Essentiële en belangrijke entiteiten moeten elk belangrijk incident melden bij de bevoegde nationale autoriteiten (in België is dit bij het CCB) als het incident ernstige gevolgen heeft voor de dienstverlening in de hierboven opgesomde sectoren of subsectoren.

  1. Binnen 24 uur: Organisaties moeten significante incidenten binnen 24 uur melden als er sprake is van mogelijke verspreiding.
  2. Binnen 72 uur: Een volledige notificatie moet binnen 72 uur plaatsvinden (zoals bij de GDPR-regels).
  3. Binnen 1 maand: Een finaal rapport indienen.

Strikte controles en boetes

De EU-lidstaten moeten toezien op de uitvoering van de regels en de melding van incidenten (bijvoorbeeld via externe audits, inspecties, opvragen van documentatie,…). Dit kan resulteren in een simpele waarschuwing, maar ook in meer bindende instructies om tekortkomingen te verhelpen tot zelfs boetes.

Essentiële entiteiten in de meest kritieke sectoren worden, zoals hierboven reeds vermeld, strikter gecontroleerd. Boetes kunnen in extreme gevallen oplopen tot 10 miljoen euro, waardoor cybersecurity een belangrijk onderwerp op directieniveau zal worden.

Vermijd boetes

Boetes kunnen in extreme gevallen oplopen tot 10 miljoen euro, waardoor cybersecurity een belangrijk onderwerp op directieniveau zal worden.

Belgische wetgeving

België zal op basis van de nieuwe richtlijn uiterlijk op 17 oktober 2024 nieuwe bepalingen ter vervanging van de bestaande NIS-wet moeten aannemen. De werkzaamheden ter voorbereiding van de omzetting vinden plaats in de komende maanden.

Schrijf je in

Tips en nieuws, elke maand in je mailbox.

Schrijf je in op onze nieuwsbrief & ontvang handige tips voor jouw IT!

Recente blogposts

CrowdStrike panne
Cybersecurity

Wereldwijde computerstoring: wat is er gebeurd en kan het jou ook treffen?

24/07/2024 - 2 min read
Voordelen effectief IT-beleid
Cybersecurity

De voordelen van een effectief IT-beleid

17/07/2024 - 3 min read
Digitale facturatie met Peppol
Business

Digitale facturatie verplicht vanaf 2026: ben jij er klaar voor?

12/07/2024 - 2 min read
Alle blogberichten