Blog

Snelle updates

De explosies bij de Nord Stream 1 en 2 gaspijpleidingen in 2022 hebben de kwetsbaarheid van onze onderzeese infrastructuur pijnlijk duidelijk gemaakt. Naast de pijpleidingen die essentieel zijn voor energievoorziening, wordt ook de digitale infrastructuur steeds vaker als een potentieel doelwit van sabotage gezien. Experts waarschuwen dat de digitale infrastructuur, zoals onderzeese datakabels, een kritiek en kwetsbaar onderdeel vormen van onze moderne samenleving. Read more

NIS2, het is na GDPR en NIS(1) de volgende term waarmee organisaties om de oren worden geslagen. Het is onze bedoeling om met een realistische blik een licht te schijnen op deze nieuwe richtlijn, in hoeverre deze van toepassing is op onze gemiddelde KMO-klant en hoe we daarbij kunnen helpen. Read more

De feestperiode brengt vaak vreugde met zich mee bij het uitpakken van cadeautjes, en een extra leuk voorbeeld kan een blinkende nieuwe smartphone zijn. Maar voordat je afscheid neemt van je vertrouwde oude telefoon, is het belangrijk om ervoor te zorgen dat je vlot kan verderwerken, vooral als het gaat over je Multi-Factor Authenticatie (MFA) profielen. Read more

We beginnen met de conclusie van dit artikel omdat we er niet genoeg de nadruk op kunnen leggen. Maar we willen natuurlijk dat je geïnteresseerd blijft en verder leest. Daarom verklappen we al dat we je ook nog een duidelijk overzicht gaan bieden van de verschillende vormen van social engineering, in begrijpbare taal. We lichten ook toe hoe je de risico’s voor je bedrijf zoveel mogelijk kan beperken. Read more

Valt mijn organisatie onder NIS2?

organisation-comply-nis2-nl
IT & telecom nieuws

Valt mijn organisatie onder NIS2?

NIS2, het is na GDPR en NIS(1) de volgende term waarmee organisaties om de oren worden geslagen. Het is onze bedoeling om met een realistische blik een licht te schijnen op deze nieuwe richtlijn, in hoeverre deze van toepassing is op onze gemiddelde KMO-klant en hoe we daarbij kunnen helpen.

Achtergrond

Bedrijven in kritieke sectoren zoals chemie, farma, energie, financiën en drink- en afvalwater vallen onder de NIS2-richtlijn, als ze minstens 50 werknemers tellen of een jaaromzet hoger dan tien miljoen euro boeken. In totaal identificeerde Europa achttien ‘kritieke’ sectoren voor de economie en veiligheid. Zo zouden om en bij 2.000 bedrijven in ons land onder de nieuwe regelgeving vallen, zo schat het VBO (Bron: Tijd.be).

De richtlijn legt de betrokken ondernemingen heel wat verplichtingen op inzake het bewustzijn van cyberrisico’s, het risicobeheer, bedrijfscontinuïteit en rapportering. Doe je dit niet, dan loop je het risico op een stevige boete, maar de kans bestaat ook dat bestuurders van het bedrijf persoonlijk aansprakelijk gesteld worden.

NIS2: moet ik voldoen aan de richtlijn en vanaf wanneer?

Gelukkig bestaat er een handige scoping tool waarmee je door een aantal vragen over je organisatie te beantwoorden snel weet of je wel of niet moet voldoen. Dit werkt efficiënter dan dieper in te gaan op alle regels en uitzonderingen, dus we raden je aan hier zeker gebruik van te maken.

Er is een belangrijk gegeven waar je ook rekening mee moet houden. Als toeleverancier van een NIS2-entiteit kan je contractueel verplicht worden om cybersecuritymaatregelen te implementeren omdat NIS2-entiteiten ook de cyberbeveiliging van hun toeleveringsketen moeten beheren. Het Centrum voor Cybersecurity België raadt aan om ten minste het zekerheidsniveau ‘CyberFundamentals Basis’ te implementeren, maar er kan contractueel een hoger niveau worden opgelegd.

Ook al moet je nog niet volledig voldoen aan de nieuwste versie van de NIS2-richtlijn, toch is het een goed idee om proactief te zijn. Zo heb je een digitale voorsprong als je organisatie compliant moet worden. Dergelijke verregaande cybersecuritymaatregelen implementeer je namelijk niet zomaar.

Als je bedrijf onder de richtlijn valt, is het zaak om zo snel mogelijk werk te maken van alle verplichtingen. De wet is namelijk in werking vanaf 18 oktober 2024. Alle NIS2-entiteiten moeten zich registreren op Safeonweb@Work:

  • Entiteiten in de digitale sectoren van de wet moeten zich registreren vóór 18 december 2024.
  • Alle andere NIS2-entiteiten moeten zich uiterlijk vóór 18 maart 2025

NIS2: welke maatregelen moet ik nemen?

Cybersecurity maatregelen

In de wet worden 11 minimummaatregelen opgesomd die elke NIS2-entiteit moet implementeren:

  • Beleid voor risicoanalyse en beveiliging van informatiesystemen;
  • Incidentenbehandeling;
  • Bedrijfscontinuïteit, zoals back-upbeheer, noodvoorzieningenplannen en crisisbeheer;
  • Beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
  • Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
  • Beleid en procedures om de effectiviteit van maatregelen voor risicobeheer op het gebied van cyberbeveiliging te beoordelen;
  • Basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
  • Beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
  • Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
  • Wanneer gepast, het gebruik van multifactorauthenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit;
  • Een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden.

Om de praktische implementatie van deze maatregelen te vergemakkelijken, adviseert het Centrum voor Cybersecurity België om gebruik te maken van het CyberFundamentals (CyFun®) Framework. Om het geadviseerde niveau en de daarbij horende vereisten te bepalen, stelt Safeonweb een eenvoudige tool voor. Je kiest je sector via de tabs onderaan, waarna je de organisatiegrootte instelt. Je krijgt dan te zien welk niveau er wordt aanbevolen (Basis, Belangrijk, Essentieel).

Per niveau stelt Safeonweb een gids met maatregelen voor, die ook gratis te downloaden is. Hiermee kan je proberen zelf aan de slag te gaan of je IT-partner contacteren.

Essentiële entiteiten moeten het zekerheidsniveau Basis of Belangrijk behalen voor 18/04/2026, het eindniveau moet gecertificeerd zijn vóór 18/04/2027. Essentiële entiteiten moeten hun implementatie regelmatig laten nakijken en beoordelen door een derde partij. Dit kan worden geattesteerd door middel van een CyFun®-certificering die wordt toegekend door een geaccrediteerde en geautoriseerde conformiteitsbeoordelingsinstantie (CAB).

Melding van significante incidenten

Bovendien moeten alle NIS2-entiteiten als deel van hun incident response plan vanaf 18 oktober 2024 het Centrum voor Cybersecurity België (CCB) in kennis stellen van significante incidenten, d.w.z. elk incident dat een significante impact heeft op de levering van hun diensten en dat:

  • Een ernstige operationele verstoring van de dienstverlening of financiële verliezen voor de betrokken entiteit heeft veroorzaakt of kan veroorzaken;
  • Andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.

Verplichtingen en verantwoordelijkheden voor het management

Raden van bestuur en management moeten worden getraind op het gebied van cyberbeveiliging om hun verantwoordelijkheden en aansprakelijkheden op zich te kunnen nemen. Als de entiteit haar verplichtingen met betrekking tot risicobeheersmaatregelen niet nakomt, is het bestuursorgaan aansprakelijk.

Voor het nemen van managementbeslissingen over cyberbeveiligingsstrategieën en -maatregelen op bestuursniveau is basiskennis van risicobeheer en cyberbeveiliging onontbeerlijk. Er wordt aangeraden om deze managementtraining te plannen vóór april 2025.

Naast managementtraining, is training van werknemers altijd een onderdeel van cyberbeveiligingsmaatregelen.

Is je IT nog up-to-date?

De evolutie op het gebied van cybersecurity gaat razendsnel. Enkele jaren geleden was er nog geen sprake van dat Belgische KMO’s mogelijk zouden moeten voldoen aan de zogenaamde NIS-wetgeving. Het is daarom goed mogelijk dat de toen opgezette omgevingen niet meer voldoen aan de hedendaagse of aankomende normen. We bieden verschillende types audits aan om je IT-omgeving en de zwakke punten (opnieuw) in kaart te brengen. Ons uitgangspunt is steeds dat we naar de specifieke situatie en noden van jouw KMO kijken. Geen algemene theorieën en principes, maar to-the-point advies waarmee je aan de slag kan.

Stay updated on our news? Subscribe to our newsletter.



    Hoe kunnen we helpen? Contacteer onze experts.

    Vul je gegevens in en wij nemen zo snel mogelijk contact met je op.


      Wij respecteren je privacy en gebruiken de ingebrachte informatie enkel om op jouw aanvraag te antwoorden.

      Of bel ons!

      We bespreken je project graag persoonlijk of via een videogesprek. Vraag een gratis consult aan bij een van onze IT- of telecomexperts om elkaar beter te leren kennen en jouw specifieke situatie te bespreken.