Deze nieuwe wet, die vanaf 18 oktober 2024 van kracht zal zijn, brengt aanzienlijke veranderingen en verplichtingen met zich mee voor een breed scala aan organisaties. Ze heeft als doel de cyberweerbaarheid van onze bedrijven en uiteindelijk dus onze maatschappij fors te verhogen.
De NIS2-wet breidt het aantal sectoren en organisaties uit die moeten voldoen aan strenge cyberveiligheidsnormen t.o.v de NIS1 wet. Onder deze wet vallen nu 18 kritische sectoren, waaronder energie, gezondheidszorg, digitale infrastructuur, maar ook nieuwe sectoren zoals post- en koeriersdiensten, afvalwaterbehandeling en chemische industrie. Naast de reeds bestaande verplichtingen voor ‘essentiële’ bedrijven, moeten nu ook ‘belangrijke’ entiteiten, zoals kleinere bedrijven (die zich in een bepaalde sector bevinden) met meer dan 50 werknemers of een jaaromzet van meer dan 10 miljoen euro, deze regels naleven.
Een van de meest opvallende aspecten van de NIS2-wet is de verhoogde persoonlijke aansprakelijkheid van bestuurders en managers. Zij worden persoonlijk verantwoordelijk gehouden voor het naleven van de cyberveiligheidsnormen en kunnen in extreme gevallen zelfs een tijdelijk beroepsverbod opgelegd krijgen als zij de regels niet volgen. Daarnaast zijn de boetes voor niet-naleving aanzienlijk verhoogd. Grotere ondernemingen kunnen boetes oplopen tot 2% van de wereldwijde jaaromzet, met een maximum van 10 miljoen euro.
In navolging van de NIS2-wet werd op 24 juni ook het Koninklijk besluit gepubliceerd ter uitvoering van deze wet. Het KB stelt het Centrum voor Cybersecurity België aan als nationale cyberbeveiligingsautoriteit alsook een aantal sectoriele autoriteiten.
Onder de nieuwe wetgeving is het verplicht om cyberincidenten te melden bij het Belgische Centrum voor Cybersecurity (CCB). Deze instantie zal ook regelmatige conformiteitsbeoordelingen organiseren om de naleving van de wetgeving te verzekeren. Het negeren van aanbevelingen van het CCB kan leiden tot boetes en verdere sancties.
Conformiteitsbeoordeling gebeurt op basis van een referentiekader, ook gekend als : cybersecurity framework. Het gaat dan over het ‘Cyberfundamentals Framework’ zoals gepubliceerd op de website van Safeonweb@work (https://atwork.safeonweb.be/tools-resources/cyberfundamentals-framework) of de norm NBN EN ISO/IEC 27001.
Valt uw organisatie onder de NIS-2 regelgeving, dan dient u een gedetailleerd actieplan op te stellen. Dit omvat het implementeren van adequate cybersecurity maatregelen, het opstellen van incident response plannen, en het trainen van uw personeel. Regelmatige audits en updates van deze plannen zijn ook essentieel om je beveiliging up-to-date te houden.
Vragen bij deze nieuwe wetgeving of hulp nodig bij het omzetten in praktische tools? Onze Savavo Governance-Risk-Compliance (GRC) experten staan klaar om u te ondersteunen!