Wat is NIS2?
De NIS2-richtlijn, is de opvolger van de NIS richtlijn (waarbij NIS staat voor Netwerk and Information Systems / Security). NIS2 wordt soms ook wel de “GDPR van de cybersecurity” genoemd.
Deze richtlijn heeft tot doel om de digitale weerbaarheid van de EU lidstaten te verbeteren en wil in het bijzonder een hoger niveau van informatiebeveiliging en cybersecurity bij zowel overheden als private ondernemingen bewerkstelligen. De toenemende mate van digitalisering en (grensoverschrijdende) verbondenheid van digitale systemen zorgt immers voor een toenemende cyberkwetsbaarheid.
Om deze uitdagingen beter aan te kunnen dienen er bijkomende maatregelen te worden genomen. NIS2 wil dit verwezenlijken door de regelgeving van de EU lidstaten op dat vlak te harmoniseren.
De voorloper van de NIS2 richtlijn werd in België in 2019 geïmplementeerd middels de wet tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid, ook wel de NIS wet genoemd. Alhoewel de nieuwe richtlijn NIS2 genoemd wordt, wordt in de titel wel niet meer verwezen naar ‘beveiliging van netwerk- en informatiesystemen’, maar wordt er meer generiek gesproken over ‘cyberbeveiliging’.
NIS 2 wil niet alleen de cybersecurity van overheden en private ondernemingen opdrijven, maar wil ook de samenwerking tussen de EU-lidstaten op dat vlak verbeteren. Hierbij wordt gedacht aan het opzetten en/of versterken van samenwerkingsprogramma’s en het beter uitwisselen van informatie over kwetsbaarheden.
Op 18 april 2024 werd de omzettingswet van de NIS2-richtlijn in het Belgisch parlement goedgekeurd en op 17 mei 2024 gepubliceerd in het Belgisch Staatsblad. De NIS2-wet is op 18 oktober 2024 in werking getreden.
Welke sectoren vallen onder NIS2?
Het aantal ondernemingen dat onder NIS 2 valt is in vergelijking met NIS toegenomen. Het gaat, onder meer, om ondernemingen die actief zijn in de sectoren vermeld in bijlage I en II van NIS2-wet:
(Zeer kritieke sectoren) – Bijlage I | (Andere kritieke sectoren) – Bijlage II |
Energie (elektriciteit, stadsverwarming- en koeling, aardolie, aardgas, waterstof) | Post- en koeriersdiensten |
Vervoer (lucht, spoor, water, weg) | Afvalstoffenbeheer |
Bankwezen | Vervaardiging, productie en distributie van chemische stoffen |
Infrastructuur voor de financiële markt | Productie, verwerking en distributie van levensmiddelen |
Gezondheidszorg (ziekenhuizen maar ook referentielaboratoria, vervaardigers van medische hulpmiddelen of farmaceutische bereidingen en andere) | Vervaardiging (van medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek; informaticaproducten en van elektronische en optische producten; elektrische apparatuur; machines en apparaten en werktuigen n.e.g., motorvoertuigen, aanhangers en opleggers; andere transportmiddelen) |
Drinkwater | Leveranciers van digitale diensten |
Afvalwater | Onderzoek |
Digitale infrastructuur | |
Beheer van ICT-diensten (business-to-business) | |
Overheid (centraal en regionaal) | |
Ruimtevaart |
Valt elke onderneming in deze sectoren onder NIS2?
Niet elke onderneming die in één van bovenstaande sectoren valt, moet zich automatisch conformeren aan NIS2. Dit is pas het geval wanneer de onderneming aanzien wordt als een essentiële entiteit of een belangrijke entiteit volgens de volgende criteria:
Essentiële entiteit
- Actief in een sector genoemd in bijlage I van NIS 2 en
- een “grote” onderneming: 250 personeelsleden of meer of een jaaromzet van meer dan 50 miljoen euro en een balanstotaal boven 43 miljoen euro
Belangrijke entiteit
- Actief in een sector genoemd in bijlage I van NIS 2 en
- een “middelgrote” onderneming: 50 – 249 personeelsleden met een jaaromzet tussen 10 – 50 miljoen euro of een balanstotaal tussen de 10 – 43 miljoen euro
of
- Actief in een sector genoemd in bijlage II van NIS 2 en
- een grote of middelgrote onderneming op basis van bovengenoemde criteria
Er bestaan wel een aantal uitzonderingen waarvoor deze omvangcriteria niet van toepassing zijn zoals aanbieders van openbare elektronische communicatienetwerken, DNS-dienstverleners, aanbieders die als kritiek worden gezien of systeemrisico’s kennen alsook centrale overheidsinstanties.
Het belangrijkste verschil tussen essentiële entiteiten en belangrijke entiteiten is dat essentiële entiteiten onder een meer intensief toezichtregime vallen. Dit toezicht op de naleving van de NIS2 verplichtingen kan zowel ex ante of ex post zijn. Bij belangrijke entiteiten geldt een lichter regime waarbij er pas sprake is van toezicht ex post of als er indicaties zijn dat NIS 2 niet wordt nageleefd of indien er zich incidenten zouden voorgedaan hebben.
Kleine ondernemingen of micro-ondernemingen zullen niet snel onder het toepassingsgebied van NIS 2 vallen. Dit kan wel anders zijn als hun product of dienst van cruciaal belang is en de onderneming aangewezen wordt bij koninklijk besluit, waarna NIS2 dan wel van toepassing wordt.
Welke cybersecurity maatregelen moeten er genomen worden?
Om cyberbeveiligingsrisico’s te beheren, schrijft NIS2 een aantal maatregelen voor. Deze maatregelen kunnen risico-gebaseerd zijn, waarbij rekening kan worden gehouden met de stand van de techniek en de er aangekoppelde uitvoeringskosten.
NIS 2 bevat wel maatregelen die minimaal geïmplementeerd moeten worden, zoals o.a.
- een beleid inzake risicoanalyse en beveiliging van informatiesystemen;
- een incidentenbehandeling;
- garanderen van bedrijfscontinuïteit;
- beveiliging van de toeleveranciersketen;
- cyberhygiëne en training op het gebied van cybersecurity;
- een toegangsbeleid;
- multifactor-authenticatie
Naast te nemen maatregelen focust NIS 2 zich ook op het uitwisselen en ontvangen van informatie met en door het nationale CSIRT. Zo kent NIS 2 uitgebreide meldplichten, waarbij ondernemingen binnen 24 uur incidenten moeten melden bij de juiste instanties. De melding binnen 24 uur wordt gezien als een vroegtijdige waarschuwing, waarbij er nog aanvullende meldplichten zijn. Bijvoorbeeld binnen 72 uur een daadwerkelijke incidentmelding en binnen één maand een verslag met daarin een beschrijving van het incident, de oorzaak, genomen maatregelen en de gevolgen van het incident.
Welke sancties zijn er als NIS2 niet wordt nageleefd?
Het niet naleven van NIS2 kan leiden tot geldboetes die bij essentiële entiteiten kunnen oplopen tot maximaal 10 miljoen euro of 2% van de jaaromzet en bij belangrijke entiteiten tot 7 miljoen euro of 1,4 % van de jaaromzet.
NIS 2 heeft ook gevolgen voor de bestuurorganen van ondernemingen die onder NIS2 vallen. De wet stelt hen immers persoonlijk aansprakelijk indien de verplichtingen om maatregelen te nemen ter beheersing van cyberbeveiligingsrisico’s niet worden nageleefd. De memorie van toelichting verwijst hiervoor niet enkel naar de raad van bestuur maar ook naar het hoger management als naar meerderheidsaandeelhouders!