Op 18 oktober 2024 wordt de nieuwe NIS2-regelgeving in België van kracht (wet van 26 april 2024 - B.S. 17 mei 2024). Deze bevat een uitgebreid arsenaal aan verplichtingen voor ondernemingen op vlak van cybersecurity.
Ten opzichte van de vorige NIS-wet van 2019 is er heel wat veranderd: de cyberdreigingen nemen steeds toe, cybercriminelen worden steeds inventiever en we zijn steeds afhankelijker van digitale infrastructuur. Het werd dus al snel duidelijk dat de oude NIS-regelgeving niet meer volstond en er een versnelling hoger geschakeld moest worden.De nieuwe NIS2 richtlijn brengt vanaf 18 oktober 2024 strengere cybersecurityverplichtingen voor Belgische bedrijven. Ontdek wat dit betekent voor jouw onderneming en hoe je kunt voldoen aan de nieuwe eisen.
Daarom werd het toepassingsgebied van de NIS-regelgeving gevoelig uitgebreid, zijn er veel meer verplichtingen na te komen (zowel vóór als na een cyberincident), is er een grotere aansprakelijkheid (ook voor bestuurders én management) en is cybersecurity meer dan ooit een thema dat meer is dan een louter IT of compliance verhaal. Het vereist een inzet van heel wat stakeholders binnen een bedrijf en heeft ook links met andere regelgeving, zoals gegevensbescherming (AVG).
Hoe gaat u nu praktisch aan de slag met NIS2?
Stap 1: bepaal of u onder de wet valt of niet
U dient een in België gevestigde middelgrote of grote onderneming te zijn (volgens aanbeveling 2003/361/EG van de Europese Commissie, ook rekening te houden met partner of verbonden ondernemingen en uitzonderingen waarbij de grootte irrelevant is) die actief is in één van de 11 zeer kritieke (o.a. energie, transport en digitale infrastructuur) of 7 kritieke sectoren (o.a. levensmiddelen, chemie en productie). Valt u niet onder het toepassingsgebied kan u nog steeds geconfronteerd worden met NIS2 als toeleverancier van een NIS2 onderworpen onderneming.
Stap 2: indien u onder het toepassingsgebied valt, bepaal of u een belangrijke en essentiële entiteit bent en registreer u bij het CCB
Entiteiten dienen zich binnen de 5 maanden na 18 oktober te registreren bij het CCB (bepaalde digitale sectoren evenwel reeds binnen de 2 maanden). Ook wanneer men niet onder het toepassingsgebied valt, biedt een vrijwillige registratie bepaalde voordelen.
Stap 3: implementeer de nodige maatregelen
NIS2 voorziet een resem aan minimummaatregelen die moeten genomen worden op vlak van risicoanalyse, beleid & procedures, technologie, infrastructuur, personeel, leveranciers en audit. Doet zich toch een incident voor, moet daarvoor een draaiboek klaarliggen, aangezien u in veel gevallen reeds binnen de 24u een melding ervan moet kunnen maken bij het CCB (en minstens steeds binnen de 72u).
Stap 4: bepaal of u een certificering nodig heeft, dan wel die wenselijk is
Essentiële entiteiten moeten, tenzij ze voor een inspectie door het CCB kiezen, na 18 maanden de eerste stappen en na 30 maanden de finale stappen voor certificering gezet hebben via ISO 27001 of het door het CCB ontwikkelde CyFUN. Belangrijke entiteiten kunnen ervoor kiezen dit vrijwillig ook te doen.
Hou ook rekening met eventuele bijkomende sector gebonden verplichtingen, zoals DORA (van kracht in januari 2025) dat een bijkomende reeks verplichtingen oplegt voor entiteiten in de bank-, verzekerings- en financiële sector of de toekomstige Cyber Resilience Act (CRA) voor ‘connected’ toestellen.
Hulp nodig bij NIS2, DORA of CRA? Raadpleeg ons
team van cybersecurity experten die ondertussen reeds heel wat ondernemingen op weg hielpen. Uw contactpersoon:
Levi Van Dijck.
