NIS 2: Verplichtingen rond verhoogde cyberbeveiliging

De cyberdreiging neemt wereldwijd toe. Met de invoering van de NIS 2-richtlijn, die de oorspronkelijke NIS 1-richtlijn vervangt, zet Europa in op het verhogen van de cyberveiligheid en de digitale weerbaarheid van Europese bedrijven, met name van bedrijven die een kritieke rol vervullen in onze maatschappij. België behoort tot de koplopers binnen Europa door de NIS 2-wet, die op 17 mei 2024 in werking trad, als een van de eerste landen te concretiseren.

Onderzoek toont aan dat het aantal cyberaanvallen op kritieke infrastructuur het afgelopen jaar met 30% is toegenomen, terwijl de toename van cyberaanvallen op nutsbedrijven bijzonder alarmerend is. De focus van de wetgeving ligt daarom op het verhogen van de cyberbeveiliging van essentiële en belangrijke entiteiten, die nu extra verplichtingen krijgen rond rapportage en bestuursaansprakelijkheid.

NIS 2-wet: Van papieren tijger naar wetgeving met impact

De oorspronkelijke NIS 1-wet was van toepassing op een select aantal sectoren zoals energie, transport en digitale diensten. Hoewel deze wet basisregels voor cyberveiligheid en incidentrapportering bevatte, bleek het toepassingsgebied te beperkt. De scope is nu aanzienlijk uitgebreid. Maar dat niet alleen: waar haar voorganger wel eens een papieren tijger werd genoemd, is de NIS–2 regelgeving wél van tanden voorzien. De Europese Commissie wil af van de stiefmoederlijke behandeling die cyberbeveiliging nog te vaak krijgt en zal naleving van de wet afdwingen door middel van boetes en bestuurdersaansprakelijkheid.

Uitgebreider toepassingsgebied : Welke sectoren vallen onder de NIS 2-richtlijn?

De NIS 2-wet heeft een aanzienlijk breder toepassingsgebied dan haar voorganger. Naast de uitbreiding van bestaande sectoren, voegt de wet ook nieuwe sectoren toe. Ze is van toepassing op zowel publieke als private entiteiten, op voorwaarde dat ze:

• Actief zijn in een van de sectoren vermeld in de bijlagen van de wet, én
• Een bepaalde omvang hebben, berekend op basis van het aantal werkzame personen enerzijds en de financiële cijfers (omzet- of balanstotaalplafond) anderzijds.

In het oog springende sectoren die zijn toegevoegd zijn o.a. de voedingssector, allerhande productiebedrijven, overheidsinstellingen en een uitgebreider segment van de digitale dienstensector.

Essentiële versus belangrijke entiteiten : Wat betekent het voor uw registratie?

De wet maakt een onderscheid tussen essentiële en belangrijke entiteiten. Dit onderscheid bepaalt onder andere de specifieke verplichtingen waaraan men moet voldoen. Hoewel entiteiten in eerste instantie zelf moeten inschatten tot welke categorie ze behoren, kan het Centrum voor Cybersecurity België (CCB) hen ook officieel classificeren.

Vanaf de inwerkingtreding van de wet op 18 oktober 2024 hebben ondernemingen vijf maanden de tijd om zich te registreren bij het CCB. Dit betekent dat de deadline om actie te ondernemen voor de meeste ondernemingen 17 maart 2025 is. De registratie kan worden uitgevoerd via het registratieplatform van het CCB.

Verplichte maatregelen voor cyberbeveiliging : Wat wordt van bedrijven verwacht?

De NIS 2-wet legt een reeks verplichtingen op, waaronder het nemen van maatregelen om netwerk- en informatiesystemen te beveiligen. Deze maatregelen moeten zijn afgestemd op de specifieke risico’s en kosten van de organisatie.

Daarnaast introduceert de wet nieuwe verplichtingen rond de beveiliging van toeleveringsketens. Dit betekent dat bedrijven toezicht moeten houden op de cyberveiligheid van hun leveranciers en dienstverleners. Deze verplichting maakt dat de NIS 2-wet een zogenaamd olievlek-effect kent, waarbij ook toeleveranciers die niet rechtstreeks onder het toepassingsgebied vallen, maar wel samenwerken met grotere NIS 2-bedrijven, ook maatregelen zullen moeten nemen om hun cyberbeveiliging op te krikken.

Ook het ontwikkelen van een intern beleid rond risicoanalyse en beveiliging is verplicht. Dit beleid moet worden ondersteund door opleidingen voor zowel medewerkers als bestuurders, zodat zij de kennis en vaardigheden hebben om risico’s te beheren.

Bij ernstige cyberincidenten is een snelle melding verplicht. Entiteiten moeten binnen 24 uur na ontdekking een eerste rapport indienen bij het nationale CSIRT, dat deel uitmaakt van het CCB.

Stevige sancties en verhoogde bestuurdersaansprakelijkheid

De NIS 2-wet voorziet in stevige sancties voor niet-naleving. Boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde omzet, afhankelijk van welk bedrag hoger is.

De meest opvallende stok achter de deur is de verhoogde bestuurdersaansprakelijkheid. Voortaan kunnen bestuursleden persoonlijk aansprakelijk worden gesteld voor het niet naleven van de NIS 2-regels. Dit benadrukt het belang van betrokkenheid op managementniveau en het nemen van verantwoordelijkheid voor cyberveiligheid.

Actie ondernemen: Hoe voldoet u tijdig aan de NIS 2-regelgeving?

Bedrijven die nog niet hebben onderzocht of ze onder de NIS 2-wetgeving vallen, wordt aangeraden om dit zo snel mogelijk te doen. Met de naderende registratiedeadline van 17 maart 2025 is het essentieel om te bepalen of uw organisatie binnen het toepassingsgebied valt.

Blijkt dit het geval, dan moet u in kaart brengen welke maatregelen al genomen zijn en welke nog ontbreken. Bedrijven die als essentieel worden geclassificeerd moeten uiterlijk tegen 18 april 2026 kunnen aantonen dat zij volledig aan de regelgeving voldoen. Dit gebeurt meestal door middel van certificeringen  zoals ISO/IEC of CyFyn.  

Stel vervolgens samen met alle betrokken partijen een concreet actieplan op. Besteed hierbij extra aandacht aan interne opleidingen en effectieve communicatie binnen de organisatie, zodat iedereen goed voorbereid is op de nieuwe verplichtingen.

Ons team IP, ICT  & GDPR staat klaar om u te ondersteunen en begeleiden bij de naleving van deze wetgeving.  Neem vandaag nog contact met ons op en zorg dat uw organisatie volledig voorbereid is!