Voor 20 uur besteld, volgende werkdag geleverd (vrijdag tot 19 uur) | + 50 000 artikelen op voorraadMeer info

Homepage

Voldoen aan NIS2-wetgeving moet voor talrijke entiteiten een prioriteit zijn

“Cybersecurity is een absolute must geworden”

Een cyberaanval is de overtreffende trap van online kwetsbaarheid: daar kan je je maar beter optimaal tegen wapenen. Dat is ook de bedoeling van de nieuwe Belgische NIS2-wetgeving, die sinds 18 oktober operationeel is geworden. Wat houdt dit precies in? Hoe kan je eraan voldoen? Welke risico’s loop je als je er niét aan voldoet? Dirk De Paepe, Senior Certification Expert bij het CCB (Centre for Cybersecurity Belgium) legt alles bevattelijk uit.

Europa heeft in 2016 een richtlijn voor cybersecurity uitgevaardigd, die alle lidstaten in wetgeving moe(s)ten omzetten. Dat heeft in België op 7 april 2019 geleid tot de NIS-wet (NIS staat voor ‘Network and Information Systems’, red.). 

“De Europese NIS-richtlijn had drie doelstellingen”, stipt Dirk De Paepe aan. “Ze verplichtte de nationale overheden tot het spenderen van de nodige aandacht aan cybersecurity. Ten tweede moest het de Europese samenwerking tussen cybersecurity-autoriteiten versterken. Daarnaast moest ze ook de belangrijkste operatoren in de meest cruciale sectoren verplichten tot het nemen van veiligheidsmaatregelen en het melden van incidenten.”

Verhoogde noodzaak

NIS1 slaagde er evenwel niet in alle vooropgezette doelstellingen af te vinken. “Het leverde overal in Europa wel positieve resultaten op, maar het toepassingsgebied was te beperkt en er was nogal wat onduidelijkheid over de doelgroep voor wie NIS1 van kracht was. Dat leidde tot een inefficiënte toepassing en dito sanctionering. Daarnaast stelde Europa te grote verschillen vast in de manier waarop de lidstaten dit benaderden. Bovendien is de noodzaak aan cybersecurity fors gegroeid. Dat komt door een gevoelige stijging van de cybercriminaliteit, wat zich reflecteert in een aanzienlijke toename van het aantal dreigingen. Daarnaast is onze integrale maatschappij veel afhankelijker van de digitale wereld geworden en is er veel meer connectiviteit, wat de kwetsbaarheid verhoogt.”

Daarom kwam Europa met een verstrengde opvolger – NIS2 – op de proppen. “Die behoudt dezelfde doelstellingen als NIS1, maar breidt het aantal entiteiten en sectoren die tot de doelgroep behoren enorm uit. Daarnaast omvat ze meer duidelijke maatregelen, uitgebreidere regels rond incidentmelding, strengere en specifiekere sanctieregels én een sterke responsabilisering van het topmanagement van elke entiteit.”

Dirk De Paepe

Pionier

België nam die nieuwe richtlijn heel ernstig en is zelfs de eerste om die volledig te vertalen naar de nieuwe NIS2-wetgeving, die op 18 oktober 2024 in voege is getreden. “Het is ronduit goed nieuws dat de overheid veel belang hecht aan die wetgeving en de uitvoerende besluiten die daarmee gepaard gaan. We merken nu al dat talrijke andere lidstaten België als voorbeeld nemen. Daarvan zijn er een aantal geneigd om onze aanpak naar hun land te kopiëren, wat voor onze ondernemingen een voordeel zou kunnen zijn. Het CCB was bepalend bij de opstelling van de NIS2-wet en voerde daarover ook overleg met belangenorganisaties en sectorale overheden.”

We merken nu al dat veel andere lidstaten België als voorbeeld nemen.

Dirk De Paepe, CCB

Het CCB heeft de afgelopen weken en maanden kosten noch moeite gespaard om iedereen zo goed mogelijk te informeren. “Dat deden we via tientallen presentaties, video’s waarin we de fundamentele basis voor cybersecurity zo goed mogelijk hebben uitgelegd en via onze website. Daarnaast maken we er een erezaak van om elke vraag naar informatie die ons via mail bereikt, één op één te beantwoorden. Uiteraard hebben we ook de sectorfederaties en werkgeversorganisaties uitgebreid met informatie bevoorraad. Ondanks al die inspanningen, stellen we vast dat talrijke organisaties en ondernemingen het nog in Keulen horen donderen als de NIS2-wetgeving ter sprake komt. Daarom zetten we onze infocampagnes de komende maanden onverminderd verder.”

Wat moet je als entiteit nu doen in het NIS2-verhaal? Daarvoor werkte het CCB een zevenstappenplan uit.

  1. Heeft NIS2 op mij betrekking?
  2. Registreer jouw NIS2-entiteit zo snel mogelijk
  3. Meld significante incidenten
  4. Bepaal je CyberFundamentals-niveau (CyFun®)
  5. Plan trainingen voor cyberbeveiliging
  6. Implementeer de beveiligingsmaatregelen
  7. Laat jouw cyberbeveiliging controleren
Logo Safe On Web

Essentieel versus belangrijk

In België maakt men het onderscheid tussen belangrijke en essentiële bedrijven. De uitleg over hoe dat onderscheid wordt gemaakt, vind je op de website van het CCB en is bepaald in bijlage I en bijlage II van de Belgische NIS2-wet. 

Het controleren van de genomen maatregelen met betrekking tot cyberbeveiliging, gebeurt door conformiteitsbeoordelingsinstellingen (CAB’s). Dat zijn door het CCB geautoriseerde organisaties, die online staan , net als de voorwaarden om zo’n CAB te kunnen worden. 

“Voor ‘belangrijke’ entiteiten zijn regelmatige conformiteitsbeoordelingen in principe vrijwillig. Voor ‘essentiële’ bedrijven daarentegen, zijn die regelmatige conformiteitsbeoordelingen verplicht. Essentiële entiteiten zijn door de band genomen grote organisaties in zeer kritieke sectoren en zijn levensbelangrijk voor een land: als die omwille van een cyberaanval niet meer functioneren, hebben erg veel mensen daar last van. Nutsmaatschappijen of ziekenhuizen zijn daar goede voorbeelden van. Belangrijke bedrijven (bijvoorbeeld koerierdiensten) zijn door de band genomen middelgrote organisaties in de zeer kritieke sectoren en grote en middelgrote organisaties in andere kritieke sectoren waar cyberincidenten eveneens grote gevolgen voor de samenleving kunnen hebben. Daarnaast is het voor essentiële en belangrijke bedrijven cruciaal om ook hun toeleveringsketen te beveiligen. Je mag dus concluderen dat NIS2 op veel entiteiten een forse impact zal hebben.”

Voor essentiële en belangrijke bedrijven is het cruciaal om ook hun toeleveringsketen te beveiligen.

Dirk De Paepe

Sancties

Je als entiteit niets van NIS2 aantrekken? Geen goed idee. Ten eerste schiet je jezelf in de voet door cybersecurity achteloos achterwege te laten, bovendien gaat het ook om een wetgeving: je moét je daar dus wel aan houden.

“Wie er niet aan voldoet en dus inbreuken pleegt inzake risicobeheersmaatregelen of incidentmeldingen, riskeert in eerste instantie administratieve maatregelen, zoals waarschuwingen en bindende instructies. Als een essentiële entiteit eraan verzaakt, kan iemand met leidinggevende verantwoordelijkheden, zoals bijvoorbeeld een algemeen directeur, zelfs een tijdelijk verbod op het uitoefenen van zijn functie in die entiteit krijgen.”

Ook forse geldboetes zijn mogelijk. “Voor belangrijke entiteiten kunnen die oplopen tot 7 miljoen euro, of 1,4% van de totale wereldwijde omzet in het voorafgaande boekjaar (afhankelijk van welk bedrag hoger is). Bij essentiële entiteiten kan dat oplopen tot 10 miljoen euro, of 2% van die omzet (afhankelijk van welk bedrag hoger is).”

Wie er niet aan voldoet, riskeert geldboetes of een tijdelijk verbod op het uitoefenen van zijn functie.

Dirk De Paepe

Aan de slag

Er is dus geen tijd te verliezen om met NIS2 aan de slag te gaan. Dirk De Paepe raadt entiteiten in eerste instantie aan om te starten met CyberFundamentals Basis. “Dat gaat bijvoorbeeld om het maken én controleren van back-ups: je bent niets met back-ups die op hetzelfde netwerk draaien en/of met back-ups die niet functioneren. Daarnaast is het heel verstandig om Multi-Factor Authenticatie (MFA, methode die de identiteit van de gebruiker op meer dan één manier verifieert, red.) te integreren. Wie hier niet over beschikt, loopt sowieso een grotere kans om het slachtoffer van cybercriminelen te worden. Die hebben vaak aan het kleinste hiaat in cyberbeveiliging voldoende om toe te slaan en richten zich zowel op grote als kleine bedrijven.”

Met de ‘scoping tool’ in de snelstartgids op de website van het CCB kan elke entiteit nagaan of ze belangrijk, dan wel essentieel is.  De CyFun®-zelfevaluatietool op diezelfde website geeft je als organisatie een duidelijk idee wat het niveau van je cyberweerbaarheid is en laat je toe te plannen en budgetteren op welke manier je die cyberweerbaarheid kan verhogen om uiteindelijk te voldoen aan de wettelijke vereisten van NIS2.

Meer weten over NIS2?

Ontdek er alles over!

Meer weten over NIS2?Lees het dossier
grijze icoontjes van een vrachtwagen, een klok, een doos en een computerscherm

Voor 20 uur besteld, volgende werkdag geleverd (vrijdag tot 19 uur) – gesneden kabel tot 17 uur (vrij. 16 uur)

4-3_1million-references

+1.900.000 referenties

Vind alles wat je nodig hebt in onze uitgebreide catalogus

4-3_useful-from-start

Begeleiding op maat

Projectondersteuning, technisch advies door experts