Nieuwe Europese richtlijnen voor cybersecurity
De Network and Information Security Directive 2 (NIS2), vastgesteld door de Europese Unie, heeft aanzienlijke gevolgen voor bedrijven en organisaties in Europa. Het doel van NIS2 is om een hoog gemeenschappelijk niveau van cybersecurity te waarborgen in alle lidstaten door de beveiliging van netwerken en informatiesystemen te verbeteren.
Wat is NIS2 en op wie is het van toepassing?
NIS2 is een herziening en uitbreiding van de oorspronkelijke NIS-richtlijn, die op 7 april 2019 in werking trad. De nieuwe richtlijn legt strengere verplichtingen op aan bedrijven en breidt de reikwijdte uit naar meer sectoren. De belangrijkste doelstellingen van NIS2 zijn:
- Het versterken van de beveiliging van kritieke infrastructuren.
- Het verbeteren van incidentrespons.
- Het bevorderen van samenwerking tussen lidstaten.
NIS2 is verplicht van toepassing op alle entiteiten die voldoen aan de “size-cap” en actief zijn binnen bepaalde sectoren. Let op: de toepasbaarheid moet altijd in de concrete omstandigheden worden beoordeeld.
Kritieke sectoren volgens NIS2
De zeer kritieke sectoren zijn vastgelegd in bijlage I van de richtlijn en omvatten onder andere:
- Energie: Infrastructuur voor productie op grote schaal, transport en distributie van energie (elektriciteit, stadsverwarming en -koeling, aardolie, aardgas en waterstof).
- Transport: Weg, spoor, lucht, water.
- Bankwezen.
- Infrastructuur van financiële markten.
- Gezondheidszorg (ziekenhuizen, referentielaboratoria, fabrikanten van medische hulpmiddelen en farmaceutische producten, enzovoort).
- Drinkwater.
- Afvalwater.
- Digitale infrastructuur.
- Beheer ICT-diensten.
- Overheid (centraal en regionaal).
- Ruimtevaart.
Daarnaast worden andere kritieke sectoren in bijlage II van de richtlijn vermeld, waaronder:
- Post- en koerierdiensten.
- Afvalstoffenbeheer.
- Vervaardiging, productie en distributie van chemische stoffen.
- Productie, verwerking en distributie van levensmiddelen.
- Vervaardiging van medische hulpmiddelen, informaticaproducten, elektrische en optische producten, machines, motorvoertuigen, aanhangers, opleggers, en andere transportmiddelen.
- Leveranciers van digitale diensten.
- Onderzoek.
Groottecriteria en uitzonderingen
Naast de sectoren moet ook worden gecontroleerd of een organisatie voldoet aan bepaalde groottecriteria (zoals VTE, omzet/balanstotaal). Deze zogenaamde “size-cap” geldt niet voor entiteiten die onder de essentiële sectoren vallen. Het is belangrijk om deze criteria case-by-case te beoordelen. Deze groottecriteria en essentiële sectoren zijn terug te vinden via volgende link: https://atwork.safeonweb.be/nl/nis2.
Wanneer is NIS2 van toepassing?
Zelfs als een organisatie niet onder de richtlijn lijkt te vallen, kan NIS2 alsnog van toepassing zijn in de volgende gevallen:
- De nationale autoriteit voor cyberbeveiliging (CCB) beschouwt de organisatie als essentieel of belangrijk.
- De organisatie valt binnen de toeleveringsketen van een NIS2-entiteit en wordt contractueel verplicht om aan de maatregelen te voldoen.
Strengere handhaving en sancties
NIS2 brengt strengere handhaving en zwaardere sancties voor niet-naleving met zich mee. Bedrijven die niet voldoen, riskeren aanzienlijke boetes en juridische gevolgen. Dit benadrukt de noodzaak om serieus te investeren in cybersecurity.
Impact op bedrijven
Bedrijven moeten hun huidige beveiligingsprotocollen evalueren en waar nodig aanpassen om aan de nieuwe eisen van NIS2 te voldoen. Dit kan aanzienlijke investeringen in technologie en training vereisen. Daarnaast moeten bedrijven snel kunnen reageren op incidenten en deze onmiddellijk rapporteren aan de relevante autoriteiten.
Hoe bereid je je voor?
Als NIS2 van toepassing is op uw organisatie, is tijdige registratie cruciaal om te voldoen aan de nieuwe regelgeving en mogelijke sancties te vermijden. Wij raden aan om de volgende stappen te ondernemen:
- Registratie: Registreer uw bedrijf uiterlijk op 18 maart 2025 via safeonweb@work. De link en de handleiding kan u vinden op https://atwork.safeonweb.be/nl/nis2
- Risicoanalyse: Voer een grondige risicoanalyse uit om zwakke punten in netwerken en systemen te identificeren.
- Beveiligingsmaatregelen: Implementeer robuuste beveiligingsmaatregelen zoals firewalls, antivirusprogramma’s en versleuteling.
- Incidentrespons: Ontwikkel een plan voor snel reageren op beveiligingsincidenten.
- Training: Zorg ervoor dat medewerkers goed getraind zijn in cybersecuritypraktijken.
- Rapportage: Stel procedures in voor het onmiddellijk rapporteren van incidenten aan de relevante autoriteiten.
Conclusie
NIS2 vertegenwoordigt een belangrijke stap vooruit in de beveiliging van netwerken en informatiesystemen binnen de EU. Bedrijven moeten proactief zijn in het verbeteren van hun cybersecuritymaatregelen. Door nu actie te ondernemen, kunnen bedrijven voldoen aan de nieuwe richtlijn en de veiligheid van hun systemen versterken, wat bijdraagt aan een veiliger digitale omgeving voor iedereen.
Meer informatie vindt u op de NIS2-website of neem contact op met uw HLB-contactpersoon voor verdere vragen.
