NIS2

NIS2: de speeltijd is voorbij, hoog tijd om NU actie te ondernemen

25 maart 2024

Op 18 oktober 2024 is het zover, dan treedt NIS2, de nieuwe Europese Network en Information Security-richtlijn, in voege. Op zich goed nieuws, want het uiteindelijke doel van deze nieuwe wetgeving is om de cyberweerbaarheid van bedrijven te verhogen. Maar opgelet: als uw bedrijf onder NIS2 valt, moet u vanaf dat moment ook effectief NIS2-compliant zijn.

Geen overgangstijd

Was het de verwachting dat organisaties nog 18 of 30 maanden de tijd hadden om NIS2 ook effectief te implementeren, dan is dat een flinke streep door de rekening. Het Centrum voor Cybersecurity België (CCB) dat verantwoordelijk is voor de omzetting van de EU-richtlijn naar Belgische wetgeving, bevestigt dat de betrokken bedrijven die vanaf 18 oktober geen passende maatregelen hebben genomen, aanzienlijke boetes en reputatieschade riskeren. Sancties zullen weliswaar proportioneel zijn.

Onduidelijkheid over deadline

Toch is er bij veel bedrijven nog onduidelijkheid over de effectieve implementatietermijn van NIS2. Koen Tamsyn, Solution Manager Cybersecurity, Inetum: “We volgen het wetgevend kader op de voet en houden rekening met mogelijke wijzigingen, maar op dit moment blijft 18 oktober 2024 staan als deadline. Vanaf dan treedt de wet effectief in werking en zullen alle verplichtingen van toepassing zijn. Het CCB is positief over het goedkeuringstraject door de regering en gaat ervan uit dat België op tijd klaar zal zijn met zijn vertaling in de nationale wetgeving. Ik moedig iedereen dan ook sterk aan om zo snel als mogelijk te starten met het traject om aan alle verplichtingen te voldoen.”

Verregaande reikwijdte

De reikwijdte van NIS2 tegenover NIS1 is een pak groter geworden. Er zijn dus ook veel meer bedrijven geïmpacteerd. Om te beginnen zijn er 11 sectoren bij gekomen, wat het totaal nu op 18 brengt. Daarnaast spelen ook omvang en kriticiteit een rol. Het CCB schat dat er zo’n 2.400 organisaties in België onder deze nieuwe richtlijn vallen. Bij Inetum gaan we uit van 3.000 organisaties.

Aangezien NIS2 sterk inzet op de relatie tussen bedrijven en hun leveranciers, zullen bedrijven die vallen onder NIS2 ook het beveiligingsniveau van hun toeleveringsketen moeten beoordelen. Hierdoor zullen leveranciers onrechtstreeks ook onder NIS2 vallen, al is de wet niet direct op hen van toepassing. Het is dus van cruciaal belang om na te gaan of uw bedrijf wel of niet onder NIS2 valt, moest u dat nog niet gedaan hebben.

NIS2-compliant worden, wat betekent dat voor u?

Is de NIS2-richtlijn van toepassing op uw bedrijf, dan is dit wat u in ieder geval moet doorvoeren in uw organisatie. 

Ten eerste moet u een aantal maatregelen nemen om uw risico’s op het gebied van cybersecurity voldoende te beheersen en beperken. Concreet gaat het om maatregelen in deze tien domeinen:

  1. Risicoanalyse en -beheer
  2. Beveiligingsbeleid en activabeheer
  3. Incidentafhandeling (preventie, detectie en reactie op incidenten)
  4. Bedrijfscontinuïteit en crisismanagement
  5. Beveiliging van de supplychain (kwetsbaarheden van leveranciers in rekening brengen)
  6. Beheer en afhandeling van kwetsbaarheden
  7. Regelmatige beoordelingen (assessments)
  8. Het gebruik van encryptie waar nodig
  9. Basishygiëne en training op het gebied van cybersecurity
  10. Het gebruik van multifactorauthenticatie (MFA) of continue authenticatie

Ten tweede moet u ook aan een aantal verplichtingen voldoen voor het melden van incidenten. Zo moet u significante incidenten voortaan binnen de 24 uren melden aan het Computer Security Incident Response Team (CSIRT) of de relevante bevoegde autoriteit. Met een voortgangsrapport na maximaal drie dagen (72 uren) en een finale rapportering ten laatste een maand na de melding. 

Meer informatie vindt u in onze NIS2-whitepaper

Op weg naar NIS2-compliance met onze partners

Geen enkele leverancier of oplossing kan alle cyberbeveiliging bieden die een organisatie nodig heeft om NIS2-compliant te zijn. Daarom sloegen we de handen in elkaar met enkele partners en zoomen we tijdens verschillende webinars in op enkele oplossingen die u alvast een eind op weg helpen.

Suggesties voor andere topics zijn welkom. Graag een seintje via mail naar info@inetum-realdolmen.world.

Aarzel ook niet om ons te bezoeken op Cybersec Europe op 29 en 30 mei, waar u onze experts persoonlijk kunt spreken. Meer info en gratis inschrijving via deze link.

Hulp nodig?

Weet u niet zeker of NIS2 van invloed is op uw bedrijf of waar u moet beginnen om uw bedrijf in orde te stellen? Hebt u concrete vragen of nood aan directe hulp, neem dan contact met ons op. Onze experts helpen u graag verder, met raad en daad.