Nieuwe Europese cybersecurity-regels voor bedrijven op komst: NIS2. Wat, waarom en hoe?

Tips

Vanuit Europa zijn er nieuwe regels inzake cyberbeveiliging van netwerken en informatiesystemen op komst. Ze worden afgekort tot NIS2. Wat is de impact op jouw bedrijf van deze zogenaamde GDPR-richtlijn voor cyberveiligheid ? En waarom bereid je je best nu al voor?

Europese vlag wappert bij een blauwe lucht
Nieuwe NIS2-wetgeving wordt vergeleken met GDPR. © Foto Christian Lue_Unsplash

Wat is NIS2?

De NIS-richtlijnen leggen regels op inzake de beveiliging van netwerk- en informatiesystemen. NIS1 legt sinds 2016 regels op voor essentiële bedrijven zoals water- en telecombedrijven. In mei 2022 keurden het Europees Parlement en de EU-lidstaten de NIS2-richtlijn goed. Deze is breder toepasbaar.

De NIS2-richtlijn is de Europese richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Europese Unie.

Deze hervorming legt de basis voor Europa's inspanningen op het gebied van cyberbeveiliging in de komende jaren. Het is een soort GDPR-richtlijn voor cyberveiligheid . Zoals we het kennen van GDPR zal NIS2 van veel meer bedrijven en organisaties uit ongeveer alle sectoren eisen dat zij een complexere reeks verplichtingen in de praktijk brengen.

Wat is het doel van NIS2?

De nieuwe NIS2-richtlijn wil een brede cyberveiligheidsbewustwording creëren. Deze awareness moet ervoor zorgen dat overheden en bedrijven beter het hoofd kunnen bieden aan de toenemende cyberdreigingen. 

De herziene richtlijn pakt ook de beveiliging van toeleveringsketens en betrekkingen tussen leveranciers aan en voert strengere verantwoordingsplicht van het hoogste management in, voor niet-naleving van de cyberbeveiligingsverplichtingen.

De verslagleggingsverplichtingen worden gestroomlijnd, strengere toezichtmaatregelen voor nationale autoriteiten en strengere handhavingsvereisten worden ingevoerd en de sanctieregelingen in de lidstaten worden geharmoniseerd.

Cyberdreigingen zijn brutaler en complexer geworden. Het was absoluut noodzakelijk ons veiligheidskader aan de nieuwe realiteit aan te passen.
Thierry Breton, Eurocommissaris voor de interne markt

Thierry Breton, commissaris voor de interne markt: "Cyberdreigingen zijn brutaler en complexer geworden. Het was absoluut noodzakelijk ons veiligheidskader aan de nieuwe realiteit aan te passen en ervoor te zorgen dat onze burgers en infrastructuur worden beschermd. In het cyberbeveiligingslandschap van vandaag zijn samenwerking en snelle informatie-uitwisseling van het allergrootste belang. Met het akkoord van NIS2 moderniseren we de regels om meer diensten die van vitaal belang zijn voor de samenleving en de economie te beschermen."

👉 Laat analyseren hoe cyberveilig je onderneming vandaag is? Klik verder en profiteer van de VLAIO-subsidies voor dit cybersecurity-verbetertraject.
""
Nathan Baele van Incerta (links) krikt zijn cyberveiligheid op via dienstverlener Toreon (Siebe De Roovere). © Foto VLAIO - ISO800

Gelden deze Europese cybersecurity-regels voor jouw bedrijf?

De NIS2-richtlijn is nu van toepassing op middelgrote en grote entiteiten uit meer sectoren die van cruciaal belang zijn voor de economie en de samenleving, waaronder aanbieders van openbare elektronische-communicatiediensten, digitale diensten, afvalwater- en afvalbeheer, de vervaardiging van kritieke producten, post- en koeriersdiensten, voedingsbedrijven, medische bedrijven….

Als bedrijf moet je zelf controleren of je er onder valt of niet. In grote lijnen zal NIS2 gelden voor de grote en middelgrote bedrijven vanaf vijftig medewerkers of een balanstotaal van tien miljoen euro, hoewel een cyberveiligheidsplan ook aan te raden is voor kleine of zelfs micro-ondernemingen.

De omzetting in nationale wetgeving wordt ongeveer midden 2024 verwacht.

Mensen werken achter computerschermen op kantoor
De NIS2-richtlijn is van toepassing op middelgrote en grote ondernemingen. © Foto Israel Andrade, Unsplash

Wat zijn de belangrijkste regels die NIS2 oplegt?

Bedrijven zullen verplicht zijn een specifiek cyberveiligheidsbeleid uit te werken. Ook deze kan je vergelijken met het beleid dat moest ingevoerd worden inzake verwerking van persoonsgegevens naar aanleiding van de GDPR-richtlijn.

Voor NIS2 zullen ondernemingen een cyberveiligheidsplan moeten uitwerken met deze elementen:

  • een risico-analyse
  • incident handling procedures
  • het nemen van mitigerende maatregelen
  • business continuïteitsplannen in lijn met de vastgestelde risico’s
  • training en bewustwording van het personeel
  • beveiliging van de aanvoerketens
  • meldingsplicht van beveiligingsincidenten
""
NIS2 streeft naar een betere beveiliging van toeleveringsketens. © Foto Chris Pagan, Unsplash

Welke boetes worden uitgesproken?

De nieuwe regelgeving voorziet ook in boetes. Volgens de AVG-regels kunnen de Europese instanties boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde omzet, afhankelijk van welk bedrag hoger is.

Deze boetes worden ook effectief uitgesproken. 1 op 5 bedrijven dat het slachtoffer werd van een cyberaanval kreeg daar een pijnlijke boete bovenop, meldt cybersecurity-bites.be. Dit gespecialiseerde platform verwijst naar het Hiscox 2022 Cyber Readiness Report 

Het rapport becijfert de mediaan van de kosten van cyberaanvallen het afgelopen jaar met 29 procent is gestegen, tot bijna 17.000 dollar. België doet het met een gemiddelde kost van 9.900 dollar beter dan de andere landen. 

Het aantal bedrijven dat meldt een boete te hebben ontvangen na een cyberaanval blijkt bijna verdubbeld, van 11 procent in 2021 naar 20 procent in 2022. Ook Belgische bedrijven krijgen meer boetes na een cyberaanval.

Waarom nu al investeren in cybersecurity?

Investeren in cybersecurity hoef je niet alleen te doen voor deze NIS2-richtlijn en om boetes te voorkomen. Wel om deze 5 redenen waarom cybersecurity je kmo laat groeien.

👉 Bovendien zijn er heel wat steunmaatregelen beschikbaar die de investering betaalbaar houden. Lees Cyberveiliger worden? Dit zijn dé subsidies en steun- en begeleidingsmaatregelen die je moet kennen