Willen vs. moeten

Dat cybersecurity maar beter hoog op je agenda staat, hebben we al tot vervelens toe herhaald. Wil je je data, je medewerkers en je organisatie beschermen tegen de alsmaar groeiende risico's, dan is investeren in cybersecurity een must. Maar vandaag gaat het niet meer alleen om willen. Cybersecurity wordt meer en meer een kwestie van moeten. Hierin is de NIS 2-richtlijn een belangrijke versneller. Deze Europese richtlijn wordt immers tegen 24 oktober 2024 omgezet in een Belgische wet die bepaalde bedrijven en organisaties zal verplichten om zich beter te beveiligen tegen cyberdreigingen.

Bekijk de sessie van cybersecurity-expert Stijn Boussemaere op Savaco's Security Seminar

Expert Stijn legt uit wat NIS 2 precies is in deze video

Wat is NIS 2?

NIS 2 is een richtlijn waarmee de Europese Unie haar leden aanzet tot het maken van een nationale wetgeving om zo de cyberbeveiliging in de Unie naar een hoger niveau te brengen. NIS 2 is een vervolgstap op en een uitbreiding van de bestaande NIS-wetgeving, die in 2019 in België van kracht ging. Om de NIS 2-richtlijn om te zetten in een Belgische wet, is het Centre for Cyber Security Belgium aan zet. Om duidelijk te maken wat er precies van bedrijven verwacht wordt inzake cybersecurity, heeft het CCB het CCB Cyberfundamentals Framework uitgewerkt, een raamwerk gebaseerd op het NIST Cyber Security Framework.

Waarom komt deze wet er?

De oorsprong van NIS, en van veel andere cybersecurity-wetgeving, gaat terug tot het Stuxnet-cyberincident uit 2010, dat heel wat ogen opende op nationaal en Europees niveau. Europa beseft dat cyberaanvallen serieuze gevolgen kunnen hebben en dat de risico's almaar blijven stijgen. Bedrijven en organisaties bewegen echter te traag in het beveiligen van hun data, medewerkers en systemen. Daarom wil Europa cybersecurity bij wet verplichten, om zo het niveau van beveiliging in de hele Unie te verhogen.

 Wie moet aan NIS 2 voldoen?

De huidige NIS 1-wetgeving is op vandaag al van toepassing op bedrijven in verschillende sectoren. Met NIS 2 zullen veel meer bedrijven en organisaties aan strengere regels inzake cybersecurity moeten voldoen. Europa gaat uit van een risicogebaseerde aanpak: bedrijven en organisaties lopen verschillende risico's en dienen zich dus te beveiligen in lijn met de risico's waarmee zij te maken krijgen. Zo deelt de richtlijn bedrijven en organisaties op in essentiële entiteiten enerzijds en belangrijke entiteiten anderzijds. Beiden zullen aan verschillende regels moeten voldoen.

  • Essentiële entiteiten zijn - de naam zegt het zelf - essentieel voor het functioneren van de maatschappij. Denk aan organisaties in de energiesector, de gezondheidszorg, drinkwater, overheid, digitale infrastructuur, …
  • Belangrijke entiteiten zijn niet meteen essentieel, maar spelen toch een heel belangrijke rol in het functioneren van de maatschappij. Denk aan post- en koeriersdiensten, vervaardiging, productie en distributie van chemische stoffen of levensmiddelen, manufacturing, enzovoort.

Of jouw organisatie een essentiële of belangrijke entiteit is, wordt bepaald door de sector waarin je actief bent. Verder bepaalt ook de grootte van je organisatie (in aantal medewerkers en jaarlijkse omzet), of je aan de regelgeving zal moeten voldoen. Let dus goed op: NIS 2 is niet alleen van toepassing op grote bedrijven. Als je als kleine organisatie in een kritieke sector werkt, dien je te voldoen. Daarnaast wordt ook rekening gehouden met de supply chain: ook de toeleveranciers van bedrijven die onder de nieuwe wetgeving vallen, zullen moeten voldoen!

Wat houdt NIS 2 precies in?

De exacte inhoud van de Belgische wettekst is nog niet vastgelegd, maar enkele belangrijke speerpunten zijn wel al duidelijk:

  • Zo zal de directie van een organisatie die onder NIS 2 valt, aansprakelijk worden gesteld wanneer de vereisten niet worden nageleefd en een incident zich voordoet.
  • Er is ook een meldingsplicht bij 'significante incidenten'. Een eerste waarschuwing moet binnen de 24 uur na vaststelling van het incident aan het CCB worden doorgegeven. Binnen de 72 uur zal een volledig gedetailleerd rapport moeten worden afgeleverd. Na 1 maand moeet je een finaal rapport indienen - ook als het incident tegen dan nog niet volledig opgelost is.

Wat zijn de sancties?

De sancties voor niet-naleving van NIS 2-wetgeving zijn niet min. Boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet voor bedrijven die als essentiële entiteit onder NIS 2 vallen, of tot 7 miljoen euro of 1,4% van de wereldwijde omzet in het geval van belangrijke entiteiten.

Kijktip

Wat je moet weten over NIS 2 in 4 heldere video's

Geen tijd om de sessie van Stijn volledig te bekijken, maar toch vragen na het lezen van deze blogpost? Collega Vincent legt het allemaal nog eens kort en krachtig uit in een verhelderende videoreeks.

Wat moet je doen om je voor te bereiden?

Wanneer de NIS 2-wetgeving in voege treedt, zullen bedrijven die in de scope van de richtlijn vallen, verplicht zijn om hun cyberbeveiliging in lijn met de wet in te richten. Het is dus van belang goed te weten of jouw bedrijf zal moeten voldoen en wat precies van je verwacht wordt. Savaco staat je hierin graag met raad en daad bij. Onze security-specialisten bekijken samen met jou hoe het gesteld is met je huidige beveiliging en stellen een gericht actieplan voor om te voldoen aan de nieuwe wet.

Laat je begeleiden

Wil je weten of jouw organisatie onder de wetgeving valt? Of ben je op zoek naar een partner die je kan begeleiden richting NIS 2 compliance? Neem contact op met ons security-team.