De digitale transformatie heeft geleid tot meer cyberincidenten. Het beschikken over een cybersecurityplan is cruciaal voor elke onderneming.
Vanaf oktober 2024 wordt de Europese NIS2-richtlijn nationale wetgeving in België. Deze richtlijn verplicht een breder scala aan ondernemingen om zich beter te beveiligen tegen cyberaanvallen. Wat betekent dit voor jouw organisatie? Laten we de belangrijkste punten eens bekijken:
1. Doel van NIS2
- De NIS2-regelgeving heeft tot doel de IT-beveiliging van essentiële diensten, zoals energie, transport, gezondheid, productie, financiën, water en digitale services binnen de EU, te versterken.
- Het gaat verder dan alleen technologische maatregelen en legt strikte algemeen aanvaarde beveiligingsprincipes en risicobeheersmaatregelen op.
2. Impact op Ondernemingen
- NIS2 geldt voor kritieke sectoren, maar de impact zal breder zijn. Ook bedrijven die niet direct onder NIS2 vallen, zullen gevolgen ondervinden.
- Geldt voor middelgrote en grote bedrijven (meer dan 50 werknemers of meer dan 10 miljoen euro jaarlijkse omzet).
- Organisaties die samenwerken met bedrijven die onder de NIS2-richtlijn vallen, moeten vergelijkbare beveiligingsmaatregelen nemen.
3. Maatregelen
Essentiële en belangrijke entiteiten die onder het toepassingsgebied vallen, moeten passende en evenredige maatregelen nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen, te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken.
Deze maatregelen omvatten ten minste:
- beleid inzake risicoanalyse en beveiliging van informatiesystemen
- incidentenbehandeling
- bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer
- de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverlener beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden
- beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen
- basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging
- beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie
- beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa
- wanneer gepast, het gebruik van multifactor authenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit
4. Boetes en Aansprakelijkheid
In tegenstelling tot de voorganger NIS1, worden nu ook boetes en aansprakelijkheid gekoppeld aan NIS2.
Inbreuken op het gebied van risicobeheersmaatregelen of incidentmeldingen kunnen worden bestraft:
- voor essentiële entiteiten: met administratieve geldboeten tot maximum 10 000 000 euro of ten minste 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de essentiële entiteit behoort, afhankelijk van welk bedrag hoger is.
- voor belangrijke entiteiten: met administratieve geldboeten tot maximum 7 000 000 euro of ten minste 1,4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de belangrijke entiteit behoort, afhankelijk van welk bedrag hoger is.
Om top management te sensibiliseren kunnen natuurlijke personen die essentiële entiteiten vertegenwoordigen aansprakelijk gesteld worden voor het niet navolgen van de verplichtingen in deze Richtlijn.
Wacht niet met het starten van een cybersecurity verbetertraject. Maak cyberveiligheid ook jouw prioriteit.
Meer informatie over NIS2 vind je hier.