In oktober 2024 moet de Europese NIS2-richtlijn over cyberveiligheid omgezet zijn in Belgisch recht. Alle grote en middelgrote bedrijven worden verplicht om aan deze richtlijnen te voldoen, anders wordt hen zware financiële sancties opgelegd. Goed nieuws! NRB kan u helpen om zonder zorgen de overgang naar NIS2 te maken.
Cyberbeveiliging is een grote zorg voor private en publieke bedrijven, gezien de financiële en reputatierisico's van een cyberaanval. De Europese Unie heeft besloten haar regelgevend kader in de strijd tegen cybercriminaliteit te versterken door de NIS2-richtlijn in te voeren.
In dit artikel vind je alles wat je moet weten over de NIS2-richtlijn.
Neem contact op met ons cybersecurityteam
Wat is de NIS2-richtlijn?
Deze richtlijn is de opvolger van de NIS1-richtlijn, die vaak wordt beschouwd als de eerste cyberbeveiligingswetgeving ter wereld. Talloze technologische ontwikkelingen hebben het Europees Parlement gedwongen om deze regels bij te werken, met de NIS2-richtlijn als gevolg. Elke lidstaat, waaronder België, moet nu uiterlijk op 17 oktober 2024 de opgesomde verplichtingen omzetten in nationale wetgeving.
Wat zijn de doelstellingen van de NIS2-richtlijn?
De NIS2-richtlijn heeft een aantal doelstellingen om de doeltreffendheid van de Europese cyberbeveiliging te verbeteren, waaronder betere samenwerking tussen de lidstaten. We hebben de wijzigingen opgesomd die een directe invloed op u zullen hebben.
1 Drastische toename van het aantal betrokken bedrijven
Dit is zeker de belangrijkste verandering. De vorige NIS-richtlijn betrof slechts een honderdtal Belgische entiteiten, verspreid over zes sectoren. De NIS2-richtlijn heeft nu ook betrekking op bedrijven in twaalf aanvullende sectoren (openbaar bestuur, openbare elektronische communicatiedienstverleners, afvalbeheer, lucht- en ruimtevaart, chemicaliën, postdiensten, toeleveringsketen voor agrovoeding, platforms voor digitale diensten) die meer dan 50 werknemers of een jaaromzet van 10 miljoen euro hebben. In totaal gaat het over ongeveer 2.500 bedrijven in België.
2 Verplichting voor bedrijven om een belangrijk incident te melden
De NIS2-richtlijn vereist dat elke aanval in drie specifieke fasen wordt gemeld:
- De autoriteiten waarschuwen binnen 24 uur na ontdekking van het incident
- Een volledige incidentmelding opmaken binnen 72 uur
- Binnen een maand na het incident een volledig en definitief rapport opstellen
3 Zware boetes voor het niet naleven van de regelgeving
Een bedrijf dat een incident niet meldt, kan zware financiële sancties opgelegd worden.
Voor zogenaamde essentiële bedrijven (energie, transport, bankwezen, financiën, drinkwater of afvalwater, digitale infrastructuur, gezondheidszorg, lucht- en ruimtevaart, openbaar bestuur) kan de boete oplopen tot €10 miljoen of ten minste 2% van de jaarlijkse wereldwijde omzet voor het boekjaar.
Voor zogenaamde belangrijke bedrijven (postdiensten, afvalbeheer, chemische industrie, agrovoedingsmiddelen, digitale benodigdheden) kan de boete oplopen tot €7 miljoen of ten minste 1,4% van de wereldwijde jaaromzet van het vorige boekjaar.
Hoe kan NRB bedrijven helpen om te voldoen aan de NIS2-richtlijn?
Als ISO 27001-gecertificeerd bedrijf kan NRB u helpen bij de overgang naar NIS2. Het plan kan samengevat worden in 5 punten:
- Cyberaanvalbeheer: dankzij de combinatie van een SIEM-platform en analisten detecteert het SOC (Security Operations Centre) aanvallen op uw gegevens en infrastructuur.
- Bedrijfscontinuïteit: het Business Continuity Plan (BCP) beschrijft de continuïteitsstrategie die wordt aangenomen om, in volgorde van prioriteit, om te gaan met de geïdentificeerde risico's die zijn geclassificeerd op basis van de ernst van hun gevolgen en hun plausibiliteit. Het plan zorgt ervoor dat personeel en middelen beschermd zijn en snel kunnen functioneren in het geval van een aanval.
- Beveiliging voor ontwikkeling en onderhoud: als u een applicatie wilt ontwikkelen, zorgen wij ervoor dat u voldoet aan de aanbevolen beveiligingsmaatregelen. Onze teams controleren of uw code voldoet aan de beveiligingsstandaarden (OWASP) en of de implementatie volgens plan verloopt.
- Beveiliging van netwerken en informatiesystemen: onze teams beoordelen de kwetsbaarheid van uw bedrijf, met name door middel van penetratietests en gesimuleerde aanvallen. Deze oefening levert veel inzichten op over de beveiliging van je gegevens.
- Testen en beoordelen van de doeltreffendheid van maatregelen: onze experts analyseren alle genomen maatregelen en beoordelen de maturiteit van beveiligingsprocessen. Deze laatste controle bepaalt of uw bedrijf beschermd is tegen online aanvallen.
Aarzel niet om contact met ons op te nemen voor meer informatie.