wenst u een vrijblijvende it audit aan te vragen? doe het nu

Vijf voor twaalf voor NIS2

Gepost op 21 augustus 2024

We vallen in herhaling, maar de deadline voor de omzetting van NIS2 in de Belgische wetgeving nadert snel. Deze richtlijn gaat in op 17 oktober 2024 met regels en voorschriften om de cyberweerbaarheid van bedrijven binnen Europa op te krikken, waardoor vele organisaties modificaties moeten maken.

Risicoanalyse en Strategie

De laatste jaren kende het aantal cyberaanvallen en -incidenten een flinke stijging, wat hoge druk uitoefent op onze economie en samenleving. Zeker nu we steeds meer afhankelijk zijn van een soepele digitale infrastructuur, is de aankomende ‘Network and Information Security Directive’-update noodzakelijk om cyberrisico’s te identificeren, beperken en ze strategisch te beheren.

Voor wie?

NIS 1 (de voorganger uit 2016) had een beperkte scope en beveelde vooral grote ondernemingen in kritieke sectoren. NIS2 gaat een stuk verder en daarmee is de kans groot dat jouw organisatie er ook mee in aanraking komt.

Bedrijven met meer dan 50 werknemers die actief zijn in sectoren zoals energie, gezondheidszorg, transport, logistiek, drinkwater overheid en ICT-infrastructuurbeheer worden aanzien als essentiële entiteiten en vallen er rechtstreeks onder.

Ontsnapt jouw organisatie hieraan? Dan wil dit nog niet zeggen dat je van de NIS2 regels gespaard blijft. Bedrijven hoeven namelijk garanties te vragen van hun toeleveranciers. Samenwerken met deze bedrijven kunnen je indirect verplichten om de NIS2 richtlijnen te respecteren. Deze groep valt onder belangrijke entiteiten die een beduidende rol hebben in het functioneren van de maatschappij. Denk aan post- en koeriersdiensten, vervaardiging, productie en distributie van chemische stoffen of levensmiddelen, manufacturing...

Ook de grootte van je organisatie (in aantal medewerkers en jaarlijkse omzet), bepaalt of je aan de regelgeving zal moeten voldoen.

De NIS2 best practices

Verplichte Maatregelen

  1. Risicoanalyses: Om de mogelijke gevolgen van incidenten te beoordelen moeten bedrijven risicoanalyses uitvoeren en daar vervolgens zowel organisatorische als technische maatregelen aan koppelen.
  2. Beheerplannen: Entiteiten moeten beschikken over incidentbeheerplannen, continuïteitsplannen en crisisbeheersplannen om de effectiviteit van de NIS-maatregelen te beoordelen.
  3. Veiligheidsbeleid: Er zijn ook beleidsmaatregelen nodig voor cryptografie, personeelsbeveiliging, authenticatiesystemen en beheer van de bevoorradingsketen.
  4. Directie: Alle maatregelen moeten goedgekeurd worden door de directie en zij dienen een basisopleiding te volgen in cyberbeveiliging.

 

Controle

  • Lidstaten zullen richtlijnen en regels opstellen over de te volgen normen.
  • De Europese Commissie kan specifieke regels opstellen voor bepaalde digitale sectoren.
  • Commissie en lidstaten kunnen gecoördineerde risicobeoordelingen uitvoeren.

 

Certificaten en incidenten


Certificering:

  • Mogelijk verplichte sectorspecifieke certificeringen voor producten, diensten of processen om naleving te garanderen.
  • Drie systemen in ontwikkeling: gemeenschappelijke criteria (producten), cloud computing en 5G.

Incidentmelding:

  • Bedrijven moeten ernstige incidenten van cyberbeveiliging melden.
  • Drempels voor “ernstig incident” worden nog bepaald.
  • Incident snel melden, gevolgd door een gedetailleerd rapport en een eindverslag binnen een maand of na afronding van het incident.


Roep

Wie de NIS2 maatregelen niet naleeft zal hierop beboet worden. Voor bedrijven die aanzien worden als belangrijke entiteit loopt dat op tot 7 miljoen euro of 1,4% van de wereldwijde omzet. Bij essentiële entiteiten stijgt dat nog naar 10 miljoen euro of 2% van hun globale omzet.

Verlang je verdere diepgaande info? Woon onze Lunchtime Learnings bij op dinsdag 10 september met expertise van Maarten Verhaghe. Claim your invitation below ↙️

Geïnteresseerd in onze nieuwsbrief?