Wat houdt de nieuwe NIS2-regelgeving in en wat betekent het voor jouw organisatie?

Het risico op cyberaanvallen- en incidenten is de laatste jaren enorm toegenomen, zeker fenomenen als phishing, malware en ransomware vormen een grote bedreiging.  

Cyberaanvallen kunnen leiden tot enorme schade op zakelijk en persoonlijk vlak, in een wereld waar we meer en meer digitaal werken is het namelijk hoofdzakelijk een functionerende digitale infrastructuur te hebben. 

Door de oorlog in Oekraïne is het nog eens duidelijker geworden dat ons besef van cyber security veel te laag is. Daarom is er vanuit Europa het initiatief gekomen om het Network and Information Security 2 (NIS2) op te stellen, deze richtlijn is een verzameling van regels rond de beveiliging van netwerk-en informatiesystemen. 

De NIS2 zal tegen oktober 2024 worden doorgevoerd bij naar schatting meer dan 16.000 bedrijven in België die worden aanzien als bedrijven die essentiële diensten aanbieden. 

Wat bepaalt de NIS2 Directive? 

In 2016 werd door de EU reeds de Directive on Security of Network and Information Systems (NIS Directive) geïntroduceerd. Deze NIS1 was de eerste richtlijn die aanzienlijk strenge eisen op vlak van cybersecurity oplegde aan zogenaamde ‘essentiële bedrijven’. Deze lijst was in 2016 echter kort en omvatte enkel ondernemingen zoals water-, energie- en telecombedrijven. De NIS2 vult deze lijst aanzienlijk aan waardoor meer bedrijven in aanmerking zullen komen om het label ‘essentieel bedrijf’ te bekomen. Daarnaast introduceert de NIS2 bepaling nog een hoop andere strenge maatregelen, met name: 

• Doordat er meer sectoren worden opgenomen in de nieuwe richtlijn, zullen grote en middelgrote bedrijven in sommige sectoren verplicht worden om beveiligingsmaatregelen te nemen. Lidstaten kunnen zelfs stappen ondernemen om kleinere bedrijven, die niet aan bepaalde omvangvereisten voldoen (zoals maximaal 10 miljoen euro aan jaarinkomsten en minder dan 50 personeelsleden), te identificeren met een hoog risico. 

• De bestuursorganen van bedrijven zullen strenger gecontroleerd worden en zullen onder de NIS2 verantwoordelijk kunnen worden gesteld als er iets misgaat. 

• Aan de nationale autoriteiten zullen strengere toezicht maatregelen worden gegeven en er komt meer samenwerking tussen de lidstaten om de veiligheid te verbeteren. 

• De NIS2 verscherpt de Cybersecurity eisen voor bedrijven, met een aanpak voor risicobeheersing en de belangrijkste cybersecuritymaatregelen. 

• De NIS2 maakt geen onderscheid meer tussen verschillende soorten diensten. De organisaties worden onder de nieuwe richtlijn geclassificeerd op basis van hun belang en worden onderverdeeld in essentiële en belangrijke categorieën. 

• De NIS2 is ook van toepassing op onderaannemers en dienstverleners die toegang hebben tot de kritieke infrastructuur van een bedrijf. Ook zij dienen aan strengere cyberbeveiligingsplichten te voldoen als ze met een essentieel bedrijf willen samenwerken.  

• Incidenten moeten per direct door bedrijven worden gemeld en er zijn strengere sancties voor bedrijven die zich niet aan de regels houden. 

• Bedrijven dienen ook de beveiligingsrisico’s in hun toeleveringsketens en leveranciersrelaties aanpakken. 

Daarnaast voorziet de NIS2 in een lijst met minimale basisbeveiliging die bedrijven moeten implementeren: 

• Risicoanalyse en informatiebeveiligingsbeleid 

• Beveiliging van de toeleveringsketen  

• Incidentafhandeling  

• Bedrijfscontinuïteit en crisisbeheer 

• Het gebruik van cryptografie/versleuteling 

• Beveiliging in netwerk- en informatiesystemen 

• Beleid en procedures voor maatregelen voor cyberbeveiligingsrisicobeheer 

Het komt aan de nationale autoriteiten toe om hierop toezicht te houden en te handhaven indien de bedrijven niet de nodige stappen nemen. 

Wat is de impact van de nieuwe wetgeving? 

Vanaf het moment dat uw onderneming wordt bestempeld als ‘essentieel’, moet u aan de NIS2-bepalingen voldoen. Doet u dat niet, dan kan u een boete riskeren tot 10 miljoen euro of 2% van de totale wereldwijde jaaromzet. Daarnaast kunnen de leidinggevende van het bedrijf persoonlijk verantwoordelijk worden gehouden voor het niet naleven van de NIS2. 

De NIS2 verwacht ‘goede Cyber security’ van de essentiële bedrijven. Maar wat is goede Cyber security?  Het hebben van de nodige technologie is uiteraard belangrijk, maar zonder de juiste mensen die weten hoe deze technologie op de juiste manier toegepast moet worden, is zelfs de meest uitgeruste technologie nutteloos.  

De NIS2 past het ‘zero trust-principe’ toe, dit principe stelt dat u als bedrijf altijd eerst alles moet verifiëren en niet de zaken zomaar mag vertrouwen, ‘never trust, always verify’. 

Hoe kan uw bedrijf zich voorbereiden op NIS2? 

Vanaf het moment dat de lidstaten NIS2 officieel moeten implementeren, zullen er veel controlemomenten en audits door de toezichthouders worden georganiseerd. Uw bedrijf zal dan streng gecontroleerd worden op vlak van cybersecurity. 

Net als bij GDPR-inbreuken worden financiële sancties voor het niet naleven van de NIS2 gebaseerd op de wereldwijde omzet van uw bedrijf. De kosten kunnen dus enorm hoog oplopen. 

Een eerste belangrijke stap is om de medewerkers van uw bedrijf bewust te maken van de NIS2 en de juridische verplichtingen om boetes te vermijden. Onze consulenten kunnen uw bedrijven trainen en hervormen om aan de regels te kunnen voldoen zodra deze in voege treden. Dat doen onze consulenten door bedrijven te stimuleren om de juiste investeringen te doen, dat kunnen bijvoorbeeld kleinschalige, maar wel efficiënte zaken zijn zoals trainingen die de medewerkers kunnen volgen om de juiste mindset aan te nemen.

Conclusie 

Het is essentieel om het belang van de nieuwe NIS2-richtlijn in te zien en de nodige stappen te zetten om Cybersecurity te garanderen. Heeft u hier graag ondersteuning in? Contacteer dan gerust een van onze consulenten om u bij te staan en om een grondige Security Audit uit te voeren.