Maak kennis met NIS2: Cyberbeveiliging versterken in het digitale tijdperk
In een tijdperk waarin digitale technologieën onze samenleving en economie steeds verder doordringen, staat de veiligheid van onze informatiesystemen meer dan ooit centraal. Overheden wereldwijd hebben gereageerd op de groeiende dreiging van cyberaanvallen door wetgeving in te voeren die gericht is op het beschermen van kritieke digitale infrastructuren. Een van de meest opvallende ontwikkelingen op dit gebied is de introductie van de NIS2-regelgeving. In deze blogpost zullen we dieper ingaan op wat NIS2 precies inhoudt, waarom het wordt geïmplementeerd, op welke bedrijven en organisaties binnen de Europese Unie het impact zal hebben en wat de beoogde doelstellingen zijn. Blijf lezen om alles te ontdekken over deze digitale veiligheidswetgeving.
De evolutie van NIS2:
NIS staat voor ‘Network and Information System’ en verwijst naar de NIS1-richtlijn die in 2016 is opgesteld. Deze NIS-richtlijn was het eerste EU-brede wetgevingskader op het gebied van cyberbeveiliging. Na de totstandkoming van dit kader kregen lidstaten tot 2018 de tijd om deze voorschriften in hun nationale wetgeving op te nemen. In België werd deze wetgeving omgezet op 7 april 2019.
De NIS1-richtlijn legt lidstaten op om nationale strategieën voor cyberbeveiliging te ontwikkelen en grensoverschrijdend samen te werken. Dit met als doel de belangrijkste deelnemers uit essentiële sectoren van onze samenleving te verplichten om veiligheidsmaatregelen te nemen en incidenten te melden. De organisaties die aan deze voorschriften moesten voldoen, werden onderverdeeld in twee groepen:
- Operatoren van essentiële diensten uit verschillende sectoren (energie, transport, gezondheidssector, drinkwater, digitale infrastructuur, financiële sector, banksector).
- Relevante aanbieders van digitale diensten (vb. online marktplaatsen, online zoekmachines, cloud computing-diensten).
Wat betekende dit precies voor de betrokken organisaties? Zij werden verplicht om minimale beveiligingsmaatregelen te implementeren en belangrijke incidenten te rapporteren. De regels waren echter wat vaag en er ontbraken heel wat details.
Na analyse van de NIS-richtlijn door de Europese Commissie trok deze de volgende conclusies:
- De implementatie van NIS bleek lastig te zijn, wat leidde tot fragmentatie.
- De reikwijdte van de richtlijn was te beperkt.
- Er bestond onduidelijkheid over de precieze omvang en competenties van de betrokken organisaties.
Vanwege de conclusies van de Commissie en de toenemende cyberaanvallen, heeft de Commissie een voorstel ingediend om de NIS-richtlijn te vervangen door NIS2.
Waar gaat NIS2 precies over?
NIS2 vormt een herziene en uitgebreide versie van de Europese Richtlijn van 2016 omtrent cyberbeveiliging. Europese landen hebben deze nieuwe richtlijn tegen het einde van 2022 aangenomen, maar ze krijgen tot 17 oktober 2024 de tijd om deze om te zetten naar nationale wetgeving. Gedurende deze periode blijven de regels van de oorspronkelijke NIS1-richtlijn van kracht.
In België is de NIS2 wet intussen goedgekeurd door het parlement op 19 april 2024. Het Centre for Cybersecurity Belgium geeft aan dat dit een belangrijke stap is om van België een van de minst cyberkwetsbare landen ter wereld te maken.
Wat maakt NIS2 anders dan zijn voorganger?
NIS2 voegt extra voorschriften toe en gebruikt een breder toepassingsgebied. Het implementeert een strenger toezicht en een strengere handhaving van de richtlijnen. Voor veel bedrijven is cyberbeveiliging hierdoor geen keuze meer, maar een verplichting.
In de praktijk moeten bedrijven passende maatregelen nemen om de risico’s met betrekking tot de beveiliging van hun fysieke omgeving en hun netwerk- en informatiesystemen te beheren, maar ook de impact van deze risico’s op hun diensten te minimaliseren.
Voor wie geldt NIS2?
Dezelfde bedrijven die onderworpen waren aan de NIS-regelgeving vallen nu ook onder de reikwijdte van NIS2, maar met een aantal toegevoegde sectoren. De onderverdeling van NIS1 wordt vervangen door de classificatie in twee hoofdcategorieën: essentiële en belangrijke bedrijven. Het onderscheid tussen hen ligt in de grootte van de entiteiten en het type entiteit waar het over gaat. Het verschil situeert zich op vlak van de hoeveelheid toezichtsmaatregelen die ze moeten naleven en de bijbehorende sancties bij niet-naleving ervan. De essentiële bedrijven worden namelijk strikter gecontroleerd en gesanctioneerd.
Essentiële sectoren omvatten onder andere:
- energie,
- transport,
- banken,
- financiële marktinfrastructuur,
- gezondheidszorgverleners (waaronder apotheken en laboratoria),
- drinkwater- en afvalwatersystemen,
- digitale infrastructuur,
- ICT-servicebeheer,
- overheidsentiteiten (centrale of regionale overheden)
Belangrijke sectoren omvatten:
- post- en koeriersdiensten,
- afvalbeheer,
- chemische industrie (productie en distributie),
- voedselindustrie (productie, verwerking en distributie),
- productie,
- digitale dienstverleners
In principe is de Belgische wetgeving van toepassing op bedrijven gevestigd in België.
NIS2 in de praktijk:
Valt je organisatie onder deze wetgeving? Dan ben je verplicht om:
- een cyberbeveiligingsplan op te stellen, met inbegrip van:
- Â een risicoanalyse;
- een incidentafhandelingsprocedure;
- een business-continuity plan (zoals back-upbeheer, noodherstel en crisismanagement)
- het bijbrengen van basis cyber hygiëne ahv personeelstraining;
- beveiliging van de toeleveringsketen.
- het plan voortdurend te testen.
- binnen 24 uur melding te maken wanneer je slachtoffer bent geworden.
Kort gezegd is het essentieel dat je voldoende stilstaat bij de opstelling van een disaster recovery plan in al zijn facetten.
Waarom NIS2?
Het digitale landschap evolueert voortdurend, waarbij cyberdreigingen steeds geavanceerder en alomtegenwoordiger worden. NIS2 is een reactie op deze groeiende uitdagingen, gericht op het versterken van de weerbaarheid van essentiële systemen en het bevorderen van een proactieve aanpak van cyberbeveiliging.
Wat bij niet-naleving?
NIS2 schrijft voor dat elke staat een centraal contactpunt instelt dat de naleving ervan controleert. Daarnaast moet er een coördinerend Computer Security Incident Response Team (CSIRT) aanwezig zijn dat meteen in actie schiet bij het binnenkomen van een melding. Het CSIRT is een nationaal orgaan. In België wordt dit gefaciliteerd door het: Centrum voor Cybersecurity.
Het Centrum voor Cybersecurity verplicht bedrijven om zich aan de voorschriften te houden in geval van een incident. Over welke voorschriften gaat het hier?
Binnen 24 uur moet er een vroegtijdige waarschuwing worden verzonden naar het CSIRT.
Een volledig meldingsrapport moet worden ingediend na 72 uur.
Een definitief rapport moet worden ingediend na 1 maand.
In tussentijd kan het CSIRT eveneens een tussentijds verslag of voortgangsverslag vragen.
Wanneer je organisatie de wetgeving niet naleeft, worden er sancties uitgeschreven in de vorm van geldboetes. Voor ‘essentiële bedrijven’ kunnen deze administratieve geldboetes oplopen tot maximum € 10 000 000 of ten minste 2% van de totale jaaromzet in het voorgaande boekjaar van de onderneming. Voor ‘belangrijke bedrijven’ kan dit oplopen tot maximum € 7 000 000 of ten minste 1,4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming.
Conclusie
De NIS2 richtlijn legt dus striktere cybersecurity-eisen op aan bedrijven binnen de EU. Het is belangrijk om niet zomaar oktober 2024 af te wachten, maar proactief aan de slag te gaan. Weet je niet waar te beginnen of kan je nog wat hulp gebruiken? Je kan alvast even kijken op volgende website, waar het CCB een Cyberfundamentals framework met specifieke controleobjecten heeft gepubliceerd. Het doel van deze tool is bedrijven te helpen en te adviseren om hun veiligheid nu reeds op een gepast niveau te brengen.Â
Wil je overgaan tot de effectieve implementatie van deze regelgeving? Met onze expertise en onze ervaring kunnen we je helpen om de veerkracht van je organisatie te vergroten en je bedrijfsactiviteiten beter te beschermen tegen de steeds evoluerende cyberdreigingen. Aarzel niet en neem contact op via onderstaand formulier.
