Wat betekent (de omzetting van) de NIS2-richtlijn voor Belgische ondernemingen?

In december 2022 werd de nieuwe richtlijn om een hoog gemeenschappelijk niveau van cyberbeveiliging in de EU te waarborgen door het Europees Parlement aangenomen. Deze richtlijn is beter gekend als de “NIS2-richtlijn”. De Belgische wet tot omzetting van de NIS2-richtlijn (de "NIS2-wet") werd op 19 april 2024 aangenomen door de Kamer van Volksvertegenwoordigers van het Federale Parlement. Deze wet is volgens het Centrum voor Cybersecurity België (CCB) “een belangrijke stap om van België een van de minst cyberkwetsbare landen ter wereld te maken”. De wet treedt in werking op 18 oktober 2024.

In deze bijdrage wijzen we kort op de impact die deze regelgeving heeft op Belgische ondernemingen.

Achtergrond van de richtlijn - exponentiële stijging beveiligingsincidenten

De voorganger van de NIS2-richtlijn (de “NIS1-richtlijn) werd in 2016 aangenomen. De lidstaten moesten deze richtlijn uiterlijk op 9 mei 2018 omzetten. Verschillende lidstaten, waaronder België, haalden deze deadline niet. De zgn. NIS1-richtlijn werd uiteindelijk omgezet door de wet van 7 april 2019.

Sinds de goedkeuring van de NIS1-richtlijn en de zelfs de NIS1-wet, stonden de ontwikkelingen op het gebied van cybersecurity absoluut niet stil.

In 2023 registreerde het CBB 120 ransomware-incidenten (een stijging van 24% ten opzichte van 2022), werden 46 “kleinere incidenten” geregistreerd (een stijging van 142% ten opzichte van 2022) en werden 9.847.713 verdachte e-mails aan het CBB bezorgd (een stijging van 66% ten opzichte van 2022). In 2022 werd bijna één vijfde van de ondernemingen (met meer dan 10 medewerkers) in de EU geconfronteerd met een beveiligingsincident (zie Eurostat).

Een goede regelgeving met betrekking tot de cyberbeveiliging is dan ook geen overbodige luxe.

Welke ondernemingen zijn onderworpen aan NIS2?

Kleine ondernemingen zijn in principe niet aan NIS2 onderworpen. Een ondernemingen (“entiteit”) valt onder het toepassingsgebied van NIS2 indien volgende voorwaarden voldaan zin:

(1) het van een bepaalde grootte is, m.n. meer dan 50 werknemers of meer dan 10 miljoen euro jaarlijkse omzet, én

(2) actief is in een van de (sub)sectoren en types diensten die in de richtlijn/wet opgesomd worden, waaronder energie, vervoer, bankwezen, gezondheidszorg, etc. Hierbij wordt nog een onderscheid gemaakt tussen essentiële en belangrijke entiteiten (sectoren), maar hier gaan we in deze bijdrage niet verder op in (zie overzicht op de website van het CBB).

Wat moeten deze ondernemingen doen?

Ondernemingen (of entiteiten) die onder het toepassingsgebied van NIS2 vallen, moeten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheren en om incidenten te voorkomen, alsook om de gevolgen van eventuele incidenten te beperken.

Daarnaast geldt er een rapportage- en meldingsplicht voor ernstige incidenten. De onderneming in kwestie dient zelf te oordelen wanneer er – op basis van de wettelijke criteria – sprake is van dergelijk incident.

Indien een onderneming de verplichtingen onder NIS2 niet naleeft, kan de nationale cyberbeveiligingsautoriteit hoge administratieve boetes opleggen.

Hierbij worden tevens grote verantwoordelijkheden bij het management voor deze ondernemingen gelegd. Zij moeten de maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren, toezien op de uitvoering ervan. Indien managers zich hier niet aan houden, riskeren zij een tijdelijk beroepsverbod en kunnen zij aansprakelijk worden gesteld voor eventuele inbreuken.

Gelet hierop heeft het management van deze ondernemingen een direct belang om ervoor te zorgen dat de cyberbeveiligingsvoorschriften strikt nageleefd worden en zullen zij eerder bereid zijn om hiervoor voldoende middelen beschikbaar te stellen.

Als gevolg van de inwerkingtreding van de NIS2-wetgeving, zullen heel wat entiteiten hun cyberbeveiliging moeten professionaliseren. Gelet op de evoluties die zich hierin voordoen is dit een welkome ontwikkeling.

Voor ondernemingen die onder het toepassingsgebied van NIS2 vallen, is het aangewezen dat zij minstens ter voorbereiding volgende 7 stappen nemen:

1. Identificatie van de cyberbeveiligingsrisico’s voor de onderneming – voer een risicobeoordeling uit en stel een plan op om deze risico’s te beperken
2. Verscherping van toegangscontrole – implementeer een sterk identiteitsbeheer om strengere toegangscontrole af te dwingen
3. Beveiliging van bevoorrechte toegang – beperk de toegang tot accounts met beheerdersrechten
4. Zorg ervoor dat authenticatie opgewassen is tegen phishing – implementeer multi-factor authentication die tegen phishing bestendig is
5. Verhoog ransomware beveiliging – introduceer beveiligingsoplossingen voor de proactieve verdediging tegen ransomware; bv. endpoint privilege management.
6. Stap over op een “zero trust”-strategie – overweeg de overstap naar een zgn. gelaagde “zero trust”-strategie, waarbij iedere stap gevalideerd dient te worden, gebruik maken van een sterk identiteitsbeheer, invoering van toegang met minimale rechten en verplicht doorlopende verificatie
7. Documentatie van het proces

Hoewel de NIS2-regelgeving enkel van toepassing is op bepaalde grote ondernemingen, zal de invloed verder reiken, nu ondernemingen die onder het toepassingsgebied vallen, verschillende verplichtingen ook zullen opleggen aan hun (potentiële) toeleveranciers.

Gelet op het toenemend aantal gevallen en de hoge risico verbonden aan beveiligingsincidenten is het dan ook aangewezen voor alle ondernemingen om hun cyberbeveiliging onder de loep te nemen.

Wil jij nagaan aan welke verplichtingen uw onderneming onderworpen is? Aarzel dan niet om ons vrijblijvend te contacteren. Wij zitten graag persoonlijk met je samen om te kijken wat we voor je kunnen betekenen.

Contacteer ons