Willen vs. moeten
Dat cybersecurity maar beter hoog op je agenda staat, hebben we al tot vervelens toe herhaald. Wil je je data, je medewerkers en je organisatie beschermen tegen de alsmaar groeiende risico's, dan is investeren in cybersecurity een must. Maar vandaag gaat het niet meer alleen om willen. Cybersecurity wordt meer en meer een kwestie van moeten. Hierin is de NIS 2-richtlijn een belangrijke versneller. Deze Europese richtlijn wordt immers tegen 24 oktober 2024 omgezet in een Belgische wet die bepaalde bedrijven en organisaties zal verplichten om zich beter te beveiligen tegen cyberdreigingen.
Waarom komt deze wet er?
De oorsprong van NIS, en van veel andere cybersecurity-wetgeving, gaat terug tot het Stuxnet-cyberincident uit 2010, dat heel wat ogen opende op nationaal en Europees niveau. Europa beseft dat cyberaanvallen serieuze gevolgen kunnen hebben en dat de risico's almaar blijven stijgen. Bedrijven en organisaties bewegen echter te traag in het beveiligen van hun data, medewerkers en systemen. Daarom wil Europa cybersecurity bij wet verplichten, om zo het niveau van beveiliging in de hele Unie te verhogen.
Wie moet aan NIS 2 voldoen?
De huidige NIS 1-wetgeving is op vandaag al van toepassing op bedrijven in verschillende sectoren. Met NIS 2 zullen veel meer bedrijven en organisaties aan strengere regels inzake cybersecurity moeten voldoen. Europa gaat uit van een risicogebaseerde aanpak: bedrijven en organisaties lopen verschillende risico's en dienen zich dus te beveiligen in lijn met de risico's waarmee zij te maken krijgen. Zo deelt de richtlijn bedrijven en organisaties op in essentiële entiteiten enerzijds en belangrijke entiteiten anderzijds. Beiden zullen aan verschillende regels moeten voldoen.
- Essentiële entiteiten zijn - de naam zegt het zelf - essentieel voor het functioneren van de maatschappij. Denk aan organisaties in de energiesector, de gezondheidszorg, drinkwater, overheid, digitale infrastructuur, …
- Belangrijke entiteiten zijn niet meteen essentieel, maar spelen toch een heel belangrijke rol in het functioneren van de maatschappij. Denk aan post- en koeriersdiensten, vervaardiging, productie en distributie van chemische stoffen of levensmiddelen, manufacturing, enzovoort.
Of jouw organisatie een essentiële of belangrijke entiteit is, wordt bepaald door de sector waarin je actief bent. Verder bepaalt ook de grootte van je organisatie (in aantal medewerkers en jaarlijkse omzet), of je aan de regelgeving zal moeten voldoen. Let dus goed op: NIS 2 is niet alleen van toepassing op grote bedrijven. Als je als kleine organisatie in een kritieke sector werkt, dien je te voldoen. Daarnaast wordt ook rekening gehouden met de supply chain: ook de toeleveranciers van bedrijven die onder de nieuwe wetgeving vallen, zullen moeten voldoen!
Wat houdt NIS 2 precies in?
De exacte inhoud van de Belgische wettekst is nog niet vastgelegd, maar enkele belangrijke speerpunten zijn wel al duidelijk:
- Zo zal de directie van een organisatie die onder NIS 2 valt, aansprakelijk worden gesteld wanneer de vereisten niet worden nageleefd en een incident zich voordoet.
- Er is ook een meldingsplicht bij 'significante incidenten'. Een eerste waarschuwing moet binnen de 24 uur na vaststelling van het incident aan het CCB worden doorgegeven. Binnen de 72 uur zal een volledig gedetailleerd rapport moeten worden afgeleverd. Na 1 maand moeet je een finaal rapport indienen - ook als het incident tegen dan nog niet volledig opgelost is.
Wat zijn de sancties?
De sancties voor niet-naleving van NIS 2-wetgeving zijn niet min. Boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet voor bedrijven die als essentiële entiteit onder NIS 2 vallen, of tot 7 miljoen euro of 1,4% van de wereldwijde omzet in het geval van belangrijke entiteiten.
Wat moet je doen om je voor te bereiden?
Wanneer de NIS 2-wetgeving in voege treedt, zullen bedrijven die in de scope van de richtlijn vallen, verplicht zijn om hun cyberbeveiliging in lijn met de wet in te richten. Het is dus van belang goed te weten of jouw bedrijf zal moeten voldoen en wat precies van je verwacht wordt. Savaco staat je hierin graag met raad en daad bij. Onze security-specialisten bekijken samen met jou hoe het gesteld is met je huidige beveiliging en stellen een gericht actieplan voor om te voldoen aan de nieuwe wet.