Sinds 16 januari 2023 heeft de NIS2-richtlijn het toneel betreden, waardoor de spelregels van cybersecurity ingrijpend veranderen. Richtlijn (EU) 2022/2555, die op die datum in werking trad, markeert een nieuwe fase met aanzienlijke gevolgen voor digitale veiligheid in de Europese Unie. Voor Belgische bedrijven die door de complexe wateren van deze digitale revolutie navigeren, is het cruciaal om te ontdekken wat NIS2 precies inhoudt en wanneer deze richtlijn volledig van kracht wordt.
Let op, België staat voor de taak om vóór 17 oktober 2024 nieuwe bepalingen te implementeren ter vervanging van de huidige NIS-wetgeving, en de voorbereidingen hiervoor zijn al in volle gang. Bereid je voor op een nieuw tijdperk van cybersecurity.
Wat is NIS2?
Stel je voor: november 2022, de maand waarin de Europese Unie NIS2 introduceert, een herziene versie van de Network and Information Systems (NIS) Directive. Eerder zette NIS1 de eerste stap naar een uniforme aanpak voor cybersecurity in verschillende lidstaten. Maar de weg van een pionier kent uitdagingen. NIS2 is de sleutel tot versterkte beveiliging, vereenvoudigde rapportage en intensievere toezichtsmaatregelen en sancties. Beschouw het als je digitale beschermengel, gereed om op te treden tegen bedreigingen in het online domein.
Welke bedrijven worden beïnvloed?
NIS2 heeft een brede impact op diverse sectoren, met als doel de cybersecurity te verbeteren. Deze richtlijn is gericht op middelgrote (meer dan 50 werknemers of een omzet van meer dan 10 miljoen euro) en grote bedrijven (meer dan 250 werknemers of een omzet van meer dan 50 miljoen euro) in verschillende kritieke sectoren. In tegenstelling tot NIS1, waarbij lidstaten zelf aanbieders moesten aanwijzen, biedt NIS2 duidelijkere richtlijnen, hernoemt sectoren en breidt het aantal ervan uit.
De regel is eenvoudig: alle organisaties binnen een essentiële sector met meer dan 50 medewerkers en een omzet van meer dan 10 miljoen euro worden als essentiële aanbieders beschouwd. Lidstaten hebben echter de mogelijkheid om organisaties met minder dan 50 medewerkers en minder dan 10 miljoen omzet binnen deze sector ook aan te merken als essentiële aanbieders.
De sectoren omvatten niet alleen 'essentiële sectoren', maar introduceren ook een nieuwe categorie, de 'belangrijke sectoren'. Het onderscheid tussen 'essentieel' en 'belangrijk' ligt in de mate van toezicht, waarbij essentiële entiteiten onder proactief toezicht vallen en belangrijke entiteiten onder reactief toezicht. Hierdoor wordt de reikwijdte van bedrijven die onder deze regelgeving vallen aanzienlijk uitgebreid.
Oorspronkelijke sectoren:
Gezondheidszorg
Transport
Bankwezen
Financiële marktinfrastructuur
Digitale infrastructuur
Watervoorziening
Energie
Digitale dienstverleners
Essentiële sectoren:
Energie
Transport
Bankwezen
Financiële marktinfrastructuur
Gezondheidszorg
Drinkwatervoorziening
Afvalwater
Digitale infrastructuur
ICT (B2B) beheer
Publieke sector
Ruimte
Kritieke sectoren:
Post- en koeriersdiensten
Afvalbeheer
Chemische industrie
Voedingsindustrie
Productie
Digitale dienstverleners
Onderzoek
Wat zijn de belangrijkste veranderingen met NIS1?
Naast de uitbreiding van sectoren en aanbieders zitten er tussen NIS1 en NIS2 ook verschillen in de eisen die gesteld worden aan beveiliging.
Verplichte rapportage: in de kern van NIS2 ligt de verplichting voor specifieke entiteiten binnen kritieke sectoren en essentiële dienstverleners om belangrijke cybersecurity-incidenten te melden aan aangewezen nationale autoriteiten. Dit proactieve rapportagemechanisme vergemakkelijkt de snelle identificatie van significante inbreuken, waardoor snelle reactiestrategieën mogelijk zijn die potentiële schade beperken.
Uitgebreider toepassingsgebied: terwijl NIS1 zich richtte op exploitanten binnen sectoren zoals energie, transport, bankwezen, financiële markten en gezondheidszorg, breidt NIS2 zijn blikveld uit. Het omvat nu een nog breder spectrum van industrieën, waaronder digitale infrastructuurdiensten, online marktplaatsen en geselecteerde cloud computingdiensten.
Strengere beveiligingsmaatregelen: NIS2 legt de lat hoger voor beveiligingsmaatregelen, met nadruk op risicobeheer, robuuste beveiligingsprotocollen en uitgebreide plannen voor incidentrespons. Dit verbeterde kader stelt organisaties in staat om effectief weerstand te bieden aan cyberbedreigingen en hun digitale ecosystemen te beschermen.
Wat is de aftelling naar de implementatie van NIS2?
De reis naar NIS2 begon in december 2020 met het voorstel, en tegen november 2022 gaf de EU groen licht. Tussen nu en 2024 is het tijd voor elke lidstaat om zijn cybersecuritysterren uit te lijnen.
De aftelling naar de implementatie van NIS2 is begonnen. Tegen het jaar 2024 moet elke lidstaat zijn cybersecuritymaatregelen afstemmen. Verwachte wetten zullen naar verwachting van kracht worden tegen het einde van 2024, na parlementaire deliberatie. Organisaties die onder de NIS2-richtlijn vallen, moeten vanaf dat moment voldoen aan zorgplicht- en rapportageverplichtingen.
Wat zijn de sancties in verband met NIS2-naleving?
Benieuwd naar de gevolgen van niet-naleving van NIS2? Het is een pad dat het beste vermeden kan worden, aangezien de straffen vrij ernstig kunnen zijn. Deze repercussies omvatten de intrekking van certificeringen, strenge nalevingstermijnen, boetes en mogelijke juridische aansprakelijkheid.
Lidstaten moeten ervoor zorgen dat organisaties onder NIS2 passende maatregelen nemen en incidenten melden, wat kan worden afgedwongen via externe audits en inspecties. In België zullen deze lidstaten onder meer het CCB (Centrum voor Cyberveiligheid) en het BIPT (Belgisch Instituut voor Postdiensten en Telecommunicatie) zijn.
Bevoegde autoriteiten hebben verschillende middelen, variërend van waarschuwingen tot boetes, om naleving af te dwingen. Boetes voor inbreuken op risicobeheersmaatregelen variëren afhankelijk van de entiteit:
Essentiële entiteiten: tot 10.000.000 euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
Belangrijke entiteiten: tot 7.000.000 euro of 1,4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
Voor overheidsinstanties geldt mogelijk een uitzondering op boetes, maar andere sancties blijven geldig. Lidstaten hebben ook de bevoegdheid om dwangsommen op te leggen voor naleving en natuurlijke personen in topmanagement zijn aansprakelijk voor het niet naleven van de richtlijn.
Naast boetes omvatten mogelijke sancties:
Het opleggen van termijnen voor naleving of herstel van kwetsbaarheden en incidenten.
Het openbaar maken van niet-naleving.
Verplichte stopzetting van diensten of activiteiten.
Schorsing van de CEO of wettelijke vertegenwoordigers.
Voor gedetailleerde informatie over sancties, raadpleeg artikelen 31-37 van de richtlijn.
Bereid je organisatie voor op de NIS2-richtlijn
Of je organisatie nu al goed voorbereid is of aan het begin staat van de reis, de eisen van de NIS2-richtlijn zijn onontkoombaar. België moet tegen 17 oktober 2024 nieuwe bepalingen aannemen ter vervanging van de bestaande NIS-wet, gebaseerd op de nieuwe richtlijn. Vooral op het gebied van PKI en certificatenbeheer moeten bedrijven hun strategieën, tools en processen herzien om kritieke infrastructuur te beschermen en vertrouwen te behouden in het uitgestrekte IT- en IoT-landschap.
Hoewel de nieuwe verplichtingen pas aan het einde van de omzettingstermijn van kracht zullen worden, is het slim voor bedrijven om nu al aan de slag te gaan met het verhogen van het niveau van cyberbeveiliging. Het CCB heeft het Cyberfundamentals-framework gepubliceerd, een tool die bedrijven kan helpen om hun veiligheid nu al op een passend niveau te brengen.