De nieuwe NIS2-richtlijn voor cybersecurity: hoe ga je hiermee aan de slag?

Wat is de NIS2-richtlijn?

In 2016 heeft de Europese Unie de Directive on Security of Network and Information Systems (NIS Directive) geïntroduceerd. Deze eerste NIS-richtlijn (NIS1) legt strenge cybersecurityvereisten op aan bedrijven die als essentieel worden beschouwd, zoals water-, energie- en telecombedrijven. Na evaluatie van de NIS1-richtlijn door de Europese Commissie bleek dat het toepassingsgebied te beperkt was en er inconsistentie was tussen lidstaten, wat de effectiviteit van de richtlijn belemmerde. Dit leidde tot de noodzaak om een vernieuwde NIS richtlijn – zijnde NIS2 – uit te vaardigen. Met de introductie van NIS2 wordt het toepassingsgebied uitgebreid.

Waarom is de NIS2-richtlijn belangrijk?

Aangezien onze meest essentiële sectoren, zoals transport, energie, gezondheid en financiën, steeds afhankelijker zijn geworden van digitale technologieën om hun kernactiviteiten uit te voeren, worden ze ook steeds kwetsbaarder voor cyberdreigingen. Cyberbeveiligingsincidenten worden steeds groter en complexer en hebben vaak een ernstige economische en sociale impact. De NIS2-richtlijn erkent dit en legt de nadruk op het nemen van effectieve maatregelen voor het beschermen van netwerk- en informatiesystemen. Deze maatregelen hebben als doel de kwetsbaarheid van je organisatie te verminderen en de weerbaarheid tegen cyberaanvallen te vergroten.

Wat is er nieuw aan NIS2?

Enkele belangrijke vaststellingen:

• Meer organisaties waaronder ook KMO’s in sommige sectoren zullen verplicht worden om beveiligingsmaatregelen te nemen;

• Er worden uitgebreidere vereisten opgelegd rond*:

1. Risk management

2. Incidentbeheer (preventie, detectie en response) en incidentrapportering

3. Business continuïteit en crisisbeheer

4. Supply chain beveiliging (focus op leveranciersrelaties)

5. Transparantere bekendmaking en beheer van kwetsbaarheden

6. Samenwerking tussen lidstaten;  

• De NIS2 classificeert organisaties op basis van hun belang en verdeelt ze onder in essentiële en belangrijke entiteiten;

• De NIS2 vereist niet langer dat organisaties hetzij extern geauditeerd worden, hetzij een ISO27001 certificatie halen. Organisaties zullen – net zoals bij de AVG of GDPR wetgeving - wel te allen tijde moeten kunnen aantonen aan de nationale autoriteiten dat men de NIS2-regelgeving respecteert. De nationale autoriteiten krijgen ook de bevoegdheid om maatregelen te nemen om organisaties aan te zetten passende maatregelen te nemen. Naast administratieve maatregelen kunnen er ook boetes worden opgelegd (zie hieronder).

*In een volgende publicatie zal er meer in detail ingegaan worden op de vereisten in de vermelde domeinen.

Is de NIS2-richtlijn van toepassing op mijn organisatie?

Zoals eerder aangegeven, is het nog wachten op de omzetting van de NIS2-richtlijn in Belgische wetgeving. Die kan afwijken van de Europese richtlijn. Bijgevolg is onderstaande informatie gebaseerd op de bestaande NIS2-richtlijn.

De NIS2-richtlijn richt zich op sectoren die al onder de eerste NIS-richtlijn vallen en op een aantal nieuwe sectoren. Belangrijk hierbij is dat organisaties automatisch onder de NIS2-richtlijn kunnen vallen als zij actief zijn in een van de onderstaande sectoren en volgens de criteria gekenmerkt worden als ‘essentiële’ of ‘belangrijke’ entiteit:

Essentiële entiteiten

Essentiële entiteiten binnen NIS2 zijn de grote organisaties die actief zijn in een sector uit bijlage I van de NIS2-richtlijn. Grote organisaties zijn organisaties met (1) minimaal 250 werknemers of (2) een jaaromzet van minstens 50 miljoen euro of (3) een jaarlijks balanstotaal van minstens 43 miljoen euro.

Belangrijke entiteiten

Belangrijke entiteiten binnen NIS2 zijn zijn middelgrote organisaties die actief zijn in een sector uit bijlage I en middelgrote en grote organisaties die actief zijn in een sector uit bijlage II. Middelgrote organisaties zijn organisaties met (1) minimaal 50 werknemers of (2) een jaaromzet (of balanstotaal) van minstens 10 miljoen euro).

Uitzonderingen

Er zijn echter uitzonderingen voor kleinere bedrijven die ook als belangrijk kunnen worden beschouwd, maar niet aan bepaalde omvangvereisten voldoen. Bovendien kunnen sommige entiteiten expliciet door lidstaten worden uitgesloten van de NIS2.

Met de NIS2 kunnen organisaties worden aangemerkt als essentieel of belangrijk, waarbij dezelfde eisen voor cybersecurity management en meldingsplicht gelden. Het belangrijkste verschil tussen de twee is de mate van toezicht op het naleven van de regels. Zo vallen essentiële entiteiten onder een intensiever regime van toezicht en strengere sancties.

Kunnen er sancties worden opgelegd?

Lidstaten moeten er efficiënt op toezien dat entiteiten in de scope van NIS2 de nodige maatregelen nemen en incidenten melden. Hiervoor kunnen zij bijvoorbeeld regelmatige externe audits, inspecties uitvoeren of bepaalde documentatie opvragen. Organisaties die niet voldoen aan de voorschriften van NIS2 kunnen worden onderworpen aan verschillende mogelijke sancties, waaronder ook boetes of administratieve sancties die kunnen oplopen tot een maximum van 10 miljoen euro voor zogenaamde essentiële entiteiten (2% van de wereldwijde omzet) en 7 miljoen euro voor belangrijke entiteiten (1,4% van de wereldwijde omzet). Bestuursleden kunnen persoonlijk aansprakelijk worden gesteld bij niet-naleving hiervan (art. 32.6).

Hoe kunnen wij je bij Vandelanotte helpen?

• Je bent niet zeker of en in welke mate je moet voldoen aan NIS2?

• Je wenst meer inzicht te krijgen in welke concrete maatregelen er nog ontbreken om NIS2 compliant te zijn?

• Je twijfelt over de juiste aanpak?

Onze experten adviseren jou en bieden indien gewenst ondersteuning bij de implementatie van de nodige veiligheidsmaatregelen om NIS-compliant te zijn.

Meer weten over de cybersecurity compliance van jouw organisatie? Neem dan contact op met Gorik.vandenbergh@vdl.be of cyber@vdl.be.