5 zaken die je moet onthouden als je onder NIS2 valt

Heeft je bedrijf meer dan 50 werknemers of een jaaromzet van 10 miljoen euro? Bij een positief antwoord ben je hoogstwaarschijnlijk één van de duizenden bedrijven die onze het NIS2 vallen.

In een vorige blogpost keken we welke sectoren en bedrijven er onderworpen worden aan deze toekomstige wetgeving.  Dat vatten we kort even samen en duiden dan op vijf aspecten je zeker niet uit het oog mag verliezen.

NIS2 in een notendop

De NIS2-richtlijn (richtlijn inzake Network and Information Security) is het meest recente beleid van de EU op het gebied van cyberbeveiliging. Deze opvolger van de NIS1-richtlijn legt strengere beveiligingseisen, rapportageverplichtingen en handhavingseisen op voor een groter aantal organisaties. Het doel is om essentiële en belangrijke organisaties in de EU te beschermen tegen cyberdreigingen, om zo een hoog niveau van gemeenschappelijke beveiliging in de hele EU te bereiken. Om dit te bereiken richt de NIS2-richtlijn zich vooral op middelgrote en grote organisaties die actief zijn in kritieke sectoren. Enerzijds omdat zij essentieel zijn voor het goed functioneren van de maatschappij, anderzijds omdat net zij vaak het primaire doelwit zijn van cyberaanvallen.

Hierdoor zal NIS2 impact zal hebben op meer dan 100.000 organisaties in de EU, waarvan enkele duizenden in België. Dat aantal is significant groter dan bij NIS1, omdat het toepassingsgebied van zes naar vijftien sectoren wordt uitgebreid. 

Vijf aspecten die je niet uit het oog mag verliezen

Als je organisatie binnen het toepassingsgebied van NIS2 valt, zijn er vijf zaken die je moet weten en acties die je moet ondernemen om aan de nieuwe vereisten te voldoen.

1. Er zijn 10 concrete maatregelen

Je bent verplicht om passende en proportionele technische, operationele en organisatorische maatregelen te nemen om de risico's voor de beveiliging van je netwerk en informatiesystemen te beheren. Zo voorkom je incidenten of minimaliseer je de impact ervan op de ontvangers van je diensten. Deze maatregelen omvatten:

1. Beleid voor risicoanalyse en beveiliging van informatiesystemen.
2. Basishygiëne inzake cyberpraktijken en cyberbeveiligingstraining.
3. Bedrijfscontinuïteit (zoals back-upbeheer en noodherstel) en crisisbeheer.
4. Gebruik van multifactorauthenticatie of oplossingen voor continue authenticatie.
5. Beleid en procedures voor het gebruik van cryptografie en encryptie.
6. Beleid en procedures om de effectiviteit van risicobeheersmaatregelen voor cyberbeveiliging te beoordelen.
7. Incidentafhandeling (preventie, detectie en respons).
8. Beveiliging van personeel, toegangscontrolebeleid en activabeheer.
9. Beveiliging bij aankoop, ontwikkeling en onderhoud van netwerk- en informatiesystemen.
10. Beveiligingsmaatregelen voor de toeleveringsketen.

2. Het management is verantwoordelijk en aansprakelijk

Het managementorgaan van je organisatie is verplicht op de bovenstaande maatregelen goed te keuren en de trainingen op te volgen. Als het haar verantwoordelijkheden niet nakomt, kan dit leiden tot een tijdelijk verbod om haar leidinggevende functies uit te oefenen.

3. Strengere sancties

Niet-naleving van de NIS2-vereisten zal leiden tot aanzienlijke boetes. Deze kunnen bestaan uit:

• Boetes tot 10 miljoen euro.
• Boetes tot 2% van de totale jaaromzet.
• Schorsing van de vergunning voor de diensten die je levert.

4. Strenger toezicht op compliance

NIS2 heeft het toezichtsregime aangescherpt om ervoor te zorgen dat alle vereisten voor het beheer van veiligheidsrisico's uit de richtlijn worden nageleefd. Dit betekent dat je organisatie kan worden onderworpen aan on-site inspecties en off-site toezicht, waaronder steekproefsgewijze controles, regelmatige en gerichte audits, beveiligingsscans of verzoeken om toegang tot gegevens.

5. Strengere rapportagevereisten

Wanneer een cyberincident zich voordoet, moet je organisatie minstens driemaal communiceren met de toezichthouden entiteit: 

1. Binnen 24u moet het incident melden. 
2. Binnen de 72u moet je een volledig verslag opstellen. Dit bevat een gedetailleerde beschrijving van het incident en het type bedreiging of de hoofdoorzaak die het incident waarschijnlijk heeft veroorzaakt.
3. Binnen de maand moet je een eindverslag opmaken. Hierin staat welke maatregelen je hebt getroffen om de schade te beperken, en welke lessen je leerde om dergelijk incident een volgende keer te vermijden. 

Het is belangrijk om snappen dat de maatregelen in de NIS2-richtlijn bedoeld zijn om je te helpen je gegevens, systemen en processen te beschermen. Compliance voorkomt dus niet alleen sancties, maar leidt je ook naar een hoger niveau van maturiteit inzake cyberbeveiliging.

Conclusie

De NIS2-richtlijn is een nieuw EU-cyberbeveiligingsbeleid dat de vorige NIS1-richtlijn vervangt en tot doel heeft de collectieve cyberbeveiliging van lidstaten te verbeteren. De richtlijn heeft een bredere reikwijdte over 15 sectoren en vereist van organisaties dat ze hun cyberbeveiligingscompetenties verder ontwikkelen.

Bij Direct promoten we echter het idee dat naleving van de NIS2-richtlijn niet alleen sancties zal voorkomen, maar ook de maturiteit van een organisatie zal versterken, om de nodige veerkracht zal opbouwen tegen zowel huidige als toekomstige cyberbeveiligingsdreigingen.

Daarom raden wij elk bedrijf dat onder de scope van de nieuwe richtlijn valt, reeds de eerste stappen zet om aan de strenge vereisten te voldoen die in oktober 2024 in de nationale wetgeving wordt opgenomen.