Op 18 oktober 2024 treedt de NIS2-wet in België in werking, waardoor bedrijven meer werk moeten maken van hun cyberveiligheid. Valéry Vander Geeten, Head of Legal bij het CCB, legt samen met Bart Callens, Product Manager Cybersecurity bij Proximus NXT uit hoe ondernemingen zich kunnen voorbereiden.
Volgens het meest recente Proximus NXT Cybersecurity Survey Report had 30 procent van de Belgische en Luxemburgse bedrijven het afgelopen jaar te maken met een cybersecurityincident. Omdat zo’n aanval of lek voor bedrijven in kritische sectoren significante gevolgen kan hebben, introduceerde de Europese Unie in 2016 de NIS-richtlijn. Vanaf 18 oktober legt een update van die richtlijn ondernemingen in een brede waaier aan sectoren nieuwe regels op.
De NIS2-richtlijn verplicht organisaties om incidenten te melden en zich te beschermen tegen cyberdreigingen, door onder andere hun kritieke infrastructuur en persoonlijke gegevens van bijvoorbeeld klanten strikt te beveiligen. Het doel is om de beveiliging van netwerk- en informaticasystemen te versterken en de weerbaarheid van de samenleving en economie te waarborgen.
Ook bedrijven die niet rechtstreeks onder de NIS2-richtlijn vallen, zijn vaak toch verplicht om maatregelen te nemen
De aangepaste NIS2-richtlijn is van toepassing op bedrijven actief in 18 sectoren, die minstens 50 werknemers tellen of een jaaromzet (of jaarlijks balanstotaal) van meer dan 10 miljoen euro hebben’, zegt Valéry Vander Geeten, Head of Legal bij het Centrum voor Cybersecurity België.
Bart Callens, Product Manager Cybersecurity bij Proximus NXT, voegt daaraan toe: ‘Ook bedrijven die niet rechtstreeks onder de NIS2-richtlijn vallen, zijn vaak toch verplicht om maatregelen te nemen. Dit komt doordat entiteiten die onder de NIS2-regelgeving vallen er immers moeten op toezien dat hun leveranciers en dienstverleners voldoen aan de cybersecurityvereisten. Zo zijn heel wat ondernemingen indirect dus toch verplicht om de richtlijn te implementeren.
Management aansprakelijk
Bedrijven die onder de NIS2-richtlijn vallen, moeten een beleid rond risicoanalyse en de beveiliging van informaticasystemen voorzien. Interne opleidingen rond cybersecurity, specifiek voor directieleden, zijn dan ook essentieel. ‘Eén van de opvallendste veranderingen in NIS2 is de expliciete aansprakelijkheid die de regelgeving het management oplegt’, zegt Callens. ‘Voor bestuurders is het dus van belang om cyberbeveiliging proactief te beheren en alert te blijven voor mogelijke dreigingen.’
Nog een ander belangrijk onderdeel van NIS2 is de meldingsplicht bij incidenten met een significante impact. ‘Een vroegtijdige waarschuwing moet zonder verwijl en uiterlijk binnen 24 uur na een significant incident gebeuren, de meer gedetailleerde communicatie volgt binnen 72 uur’, vertelt Vander Geeten. Wie de NIS2-wet niet of onvoldoende naleeft, riskeert boetes en andere sancties.
Cyberfundamentals Framework als kapstok
Voor bedrijven die al ISO 27001-gecertifieerd zijn, is de stap richting NIS2 veel kleiner dan voor wie een minder gestructureerde aanpak op vlak van cybersecurity heeft. ‘Het CCB heeft een helder kader uitgewerkt en biedt tools aan om bedrijven te helpen. Zo is er het Cyberfundamentals Framework, dat voor veel organisaties een belangrijke schakel naar een geoptimaliseerd securitybeleid vormt’, zegt Vander Geeten.
Het Cyberfundamentals Framework is voor veel organisaties een belangrijke schakel naar een geoptimaliseerd securitybeleid
Ook Proximus NXT biedt hulp en kan samen met de klant volledige NIS2-assessments uitvoeren. ‘Daarin berekenen we de huidige beveiligingsmaturiteitsscore en wijzen we op acties die dat niveau opkrikken’, vertelt Callens. ‘Dat leidt tot een praktische en realistische roadmap richting NIS2, binnen de vooropgestelde periode. Wij kunnen organisaties ook bij het volledige NIS2-compliancytraject begeleiden en ondersteunen. Dit gebeurt door experts van Proximus NXT, met jarenlange ervaring als CISO via onze CISO-as-a-service-dienst.’
Wie als bedrijf onderhevig aan de NIS2-regelgeving of KMO investeert in een cybersecurity verbetertraject, heeft recht op een subsidie. Klik hier voor meer info.