NIS2-richtlijn: Versterkte cybersecurity-eisen voor kmo's
Gepubliceerd op 17/10/2024 in Start Like A Pro
Wat is de NIS2-richtlijn? Op 18 oktober 2024 gaat de NIS2-richtlijn in werking in België. Deze EU-wetgeving stelt nieuwe eisen aan cybersecurity, risicobeheer en het melden van incidenten. Veel kmo's moeten misschien ook voldoen aan deze NIS2 verplichtingen. Onze experts bij Proximus leggen je deze veranderingen uit, met een duidelijke richtlijn en uitleg over de zorgplicht en NIS2- meldplicht.
Waarom een nieuwe NIS2-richtlijn voor cybersecurity?
Kmo's worden steeds vaker het doelwit van cyberaanvallen. In 2023 kreeg één op de drie Belgische bedrijven te maken met een incident in cybersecurity (source : Proximus NXT Cybersecurity Survey Report 2024) . Dit kan leiden tot grote verliezen van gegevens en verstoring van de zakelijke activiteiten bedrijfsvoering.
De NIS2- regelgeving verplicht bedrijven om betere beschermingsmaatregelen te nemen om deze risico’s te vermijden. Deze nieuwe EU-wetgeving is bedoeld om de cybersecurity van bedrijven in Europa te verbeteren.
NIS2-richtlijn: Voor wie is het van toepassing?
Concreet moet je voldoen aan de NIS2-verplichtingen als je een belangrijke entiteit bent, wat betekent dat je aan de volgende twee criteria voldoet:
- Je hebt 50 medewerkers of meer, of je realiseert een jaarlijkse omzet van 10 miljoen euro of meer.
- Je opereert in een van de 18 kritieke sectoren (energie, transport, banksector, financiële marktinfrastructuren, gezondheidszorg, levering/distributie van drinkwater, afvalwaterbeheer, digitale infrastructuren, beheer van ICT-diensten, openbare administratie, ruimtevaartsector, post- en koeriersdiensten, afvalbeheer, productie/distributie van chemische producten, voedsel en productie).
Strengere verplichtingen en boetes gelden voor organisaties die worden geïdentificeerd als essentiële entiteiten. Dit zijn structuren die aan de volgende twee criteria voldoen:
- Je hebt 250 medewerkers of meer, of je realiseert een jaarlijkse omzet van 50 miljoen euro of meer, of een totale jaarbalans van meer dan 43 miljoen euro.
- En je opereert in een van de 11 zeer kritieke sectoren (energie, transport, banksector, financiële marktinfrastructuren, gezondheidszorg, levering/distributie van drinkwater, afvalwaterbeheer, digitale infrastructuren, beheer van ICT-diensten, openbare administratie en ruimtevaartsector).
De regelgeving verplicht de entiteiten die onder deze richtlijn vallen om de kwaliteit van de cybersecurity van hun leveranciers en directe dienstverleners te waarborgen. Daarom zullen zelfs bedrijven die niet direct onder de NIS2 vallen, indirect door deze wettelijke verplichtingen worden beïnvloed.
Hoe voldoe je aan de NIS2-richtlijn?
- Schrijf je NIS2-entiteit zo snel mogelijk in op Safeonweb@Work. De entiteiten in de digitale sector moeten dit doen vóór 18 december 2024, terwijl alle andere NIS2-entiteiten tot 18 maart 2025 hebben om zich te registreren.
- Voer een risicoanalyse uit, identificeer je kwetsbaarheden en neem de nodige maatregelen om je IT-infrastructuur te beveiligen. Beheer incidenten, verbeter de IT-hygiëne, implementeer back-ups, zorg voor bedrijfscontinuïteit en meld kwetsbaarheden. Onze Proximus cybersecurity experten kunnen je hiermee helpen.
- Meld elk significant incident bij het CCB (Centrum voor Cybersecurity België). Dit melden moet in verschillende stappen gebeuren:
- een waarschuwing binnen 24 uur na kennisname van het incident.
- een incidentrapport binnen 72 uur.
- een tussentijds rapport op verzoek van het CCB of de betrokken autoriteit.
- een eindrapport uiterlijk een maand na de melding van het incident. Als het incident nog aan de gang is, is een tussentijds rapport vereist, gevolgd door een eindrapport binnen een maand na de oplossing van het incident.
Zijn er extra verplichtingen voor essentiële entiteiten?
Entiteiten die als «essentiële» worden aangemerkt, moeten voldoen aan extra verplichtingen, waaronder strenge geplande of onverwachte controles. Ze staan onder proactief toezicht. Als ze de regels niet naleven, riskeren ze zware sancties.
Wat zijn de boetes bij niet-naleving van de NIS2-richtlijn?
Essentiële entiteiten riskeren een boete tot 10 miljoen euro of 2 % van hun wereldwijde omzet. Voor belangrijke entiteiten kan de boete oplopen tot 7 miljoen euro of 1,4 % van hun wereldwijde omzet. Daarnaast kunnen ook de leidinggevenden verantwoordelijk worden gehouden.
Vind een snelstartgids in 7 stappen aangeboden door de overheid op atwork.safeonweb.be
Hoe kan Proximus je helpen met de NIS2?
Zie de nieuwe NIS2-richtlijn als een kans om je bedrijf beter te beschermen. De teams van Proximus staan klaar om je te helpen je cybersecurity te versterken en te zorgen dat je aan de regels voldoet.