NIS2, het is na GDPR en NIS(1) de volgende term waarmee organisaties om de oren worden geslagen. Het is onze bedoeling om met een realistische blik een licht te schijnen op deze nieuwe richtlijn, in hoeverre deze van toepassing is op onze gemiddelde KMO-klant en hoe we daarbij kunnen helpen.

Bedrijven in kritieke sectoren zoals chemie, farma, energie, financiën en drink- en afvalwater vallen onder de NIS2-richtlijn, als ze minstens 50 werknemers tellen of een jaaromzet hoger dan tien miljoen euro boeken. In totaal identificeerde Europa achttien ‘kritieke’ sectoren voor de economie en veiligheid. Zo zouden om en bij 2.000 bedrijven in ons land onder de nieuwe regelgeving vallen, zo schat het VBO (Bron: Tijd.be).

De richtlijn legt de betrokken ondernemingen heel wat verplichtingen op inzake het bewustzijn van cyberrisico’s, het risicobeheer, bedrijfscontinuïteit en rapportering. Doe je dit niet, dan loop je het risico op een stevige boete, maar de kans bestaat ook dat bestuurders van het bedrijf persoonlijk aansprakelijk gesteld worden.

Gelukkig bestaat er een handige scoping tool waarmee je door een aantal vragen over je organisatie te beantwoorden snel weet of je wel of niet moet voldoen. Dit werkt efficiënter dan dieper in te gaan op alle regels en uitzonderingen, dus we raden je aan hier zeker gebruik van te maken.

Er is een belangrijk gegeven waar je ook rekening mee moet houden. Als toeleverancier van een NIS2-entiteit kan je contractueel verplicht worden om cybersecuritymaatregelen te implementeren omdat NIS2-entiteiten ook de cyberbeveiliging van hun toeleveringsketen moeten beheren. Het Centrum voor Cybersecurity België raadt aan om ten minste het zekerheidsniveau ‘CyberFundamentals Basis’ te implementeren, maar er kan contractueel een hoger niveau worden opgelegd.

Ook al moet je nog niet volledig voldoen aan de nieuwste versie van de NIS2-richtlijn, toch is het een goed idee om proactief te zijn. Zo heb je een digitale voorsprong als je organisatie compliant moet worden. Dergelijke verregaande cybersecuritymaatregelen implementeer je namelijk niet zomaar.

Als je bedrijf onder de richtlijn valt, is het zaak om zo snel mogelijk werk te maken van alle verplichtingen. De wet is namelijk in werking vanaf 18 oktober 2024. Alle NIS2-entiteiten moeten zich registreren op Safeonweb@Work:

• Entiteiten in de digitale sectoren van de wet moeten zich registreren vóór 18 december 2024.
• Alle andere NIS2-entiteiten moeten zich uiterlijk vóór 18 maart 2025

In de wet worden 11 minimummaatregelen opgesomd die elke NIS2-entiteit moet implementeren:

• Beleid voor risicoanalyse en beveiliging van informatiesystemen;
• Incidentenbehandeling;
• Bedrijfscontinuïteit, zoals back-upbeheer, noodvoorzieningenplannen en crisisbeheer;
• Beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
• Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
• Beleid en procedures om de effectiviteit van maatregelen voor risicobeheer op het gebied van cyberbeveiliging te beoordelen;
• Basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
• Beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
• Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
• Wanneer gepast, het gebruik van multifactorauthenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit;
• Een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden.

Om de praktische implementatie van deze maatregelen te vergemakkelijken, adviseert het Centrum voor Cybersecurity België om gebruik te maken van het CyberFundamentals (CyFun®) Framework. Om het geadviseerde niveau en de daarbij horende vereisten te bepalen, stelt Safeonweb een eenvoudige tool voor. Je kiest je sector via de tabs onderaan, waarna je de organisatiegrootte instelt. Je krijgt dan te zien welk niveau er wordt aanbevolen (Basis, Belangrijk, Essentieel).

Per niveau stelt Safeonweb een gids met maatregelen voor, die ook gratis te downloaden is. Hiermee kan je proberen zelf aan de slag te gaan of je IT-partner contacteren.

Essentiële entiteiten moeten het zekerheidsniveau Basis of Belangrijk behalen voor 18/04/2026, het eindniveau moet gecertificeerd zijn vóór 18/04/2027. Essentiële entiteiten moeten hun implementatie regelmatig laten nakijken en beoordelen door een derde partij. Dit kan worden geattesteerd door middel van een CyFun®-certificering die wordt toegekend door een geaccrediteerde en geautoriseerde conformiteitsbeoordelingsinstantie (CAB).

Bovendien moeten alle NIS2-entiteiten als deel van hun incident response plan vanaf 18 oktober 2024 het Centrum voor Cybersecurity België (CCB) in kennis stellen van significante incidenten, d.w.z. elk incident dat een significante impact heeft op de levering van hun diensten en dat:

• Een ernstige operationele verstoring van de dienstverlening of financiële verliezen voor de betrokken entiteit heeft veroorzaakt of kan veroorzaken;
• Andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.

Raden van bestuur en management moeten worden getraind op het gebied van cyberbeveiliging om hun verantwoordelijkheden en aansprakelijkheden op zich te kunnen nemen. Als de entiteit haar verplichtingen met betrekking tot risicobeheersmaatregelen niet nakomt, is het bestuursorgaan aansprakelijk.

Voor het nemen van managementbeslissingen over cyberbeveiligingsstrategieën en -maatregelen op bestuursniveau is basiskennis van risicobeheer en cyberbeveiliging onontbeerlijk. Er wordt aangeraden om deze managementtraining te plannen vóór april 2025.

Naast managementtraining, is training van werknemers altijd een onderdeel van cyberbeveiligingsmaatregelen.

De evolutie op het gebied van cybersecurity gaat razendsnel. Enkele jaren geleden was er nog geen sprake van dat Belgische KMO’s mogelijk zouden moeten voldoen aan de zogenaamde NIS-wetgeving. Het is daarom goed mogelijk dat de toen opgezette omgevingen niet meer voldoen aan de hedendaagse of aankomende normen. We bieden verschillende types audits aan om je IT-omgeving en de zwakke punten (opnieuw) in kaart te brengen. Ons uitgangspunt is steeds dat we naar de specifieke situatie en noden van jouw KMO kijken. Geen algemene theorieën en principes, maar to-the-point advies waarmee je aan de slag kan.