Wat

De afkorting “NIS2” staat voor “Network and Information Security directive 2”, de tweede versie van de Europese richtlijn met als doel de cyberbeveiliging binnen de EU te versterken.
De Europese Commissie wil het toepassingsgebied van de vorige richtlijn uitbreiden door meer sectoren en entiteiten in te sluiten, de veiligheidseisen te intensiveren, en een betere samenwerking en informatie-uitwisseling tussen EU-lidstaten te bevorderen.

Tijdschema

Organisaties in België en de rest van de EU zullen moeten voldoen aan nieuwe verplichtingen, deze gaan van kracht in Oktober 2024.
Het is echter nuttig dat organisaties zich nu al voorbereiden op de algemene verplichtingen die uit de richtlijn voortvloeien, zonder de omzettingswetgeving af te wachten, rekening houdend met de toenemende bedreigingen en risico’s.

Voor meer details, bezoek De NIS2-richtlijn : wat betekent dit voor mijn organisatie? | Centrum voor Cybersecurity België (belgium.be)

MFA monnik tip
NIS2 tijdslijn

Voor wie

Een entiteit valt onder de NIS2-richtlijn als ze:

  1. actief is in een zeer kritieke of kritieke sector
  2. van een bepaalde grootte is (vanaf 50 werknemers of meer dan 10 miljoen euro jaarlijkse omzet)

Voor alle details, uitzonderingen en nuances, zie de sectie toepassingsgebied in de NIS II documentatie.

De zeer kritieke sectoren (zie bijlage I van de richtlijn) zijn:

  • energie (elektriciteit, stadsverwarming- en koeling, aardolie, aardgas, waterstof)
  • vervoer (lucht, spoor, water, weg)
  • bankwezen
  • infrastructuur van de financiële markten
  • gezondheidszorg (waaronder niet enkel meer de ziekenhuizen maar nu ook referentielaboratoria, vervaardigers van medische hulpmiddelen of farmaceutische bereidingen en andere)
  • drinkwater
  • afvalwater
  • digitale infrastructuur
  • beheer van ICT-diensten
  • overheid (centraal en regionaal)
  • ruimtevaart

Andere kritieke sectoren (zie bijlage II van de richtlijn) zijn:

  • post- en koerierdiensten
  • afvalstoffenbeheer
  • vervaardiging, productie en distributie van chemische stoffen
  • productie, verwerking en distributie van levensmiddelen
  • vervaardiging (van medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek; informaticaproducten en van elektronische en optische producten; elektrische apparatuur; machines en apparaten en werktuigen n.e.g., motorvoertuigen, aanhangers en opleggers; andere transportmiddelen)
  • leveranciers van digitale diensten
  • onderzoek

Assessment tool

Bent u NIS2-plichtig? Het CCB (Centre for Cybersecurity Belgium) heeft een Excel bestand ter beschikking gesteld waarmee u de evaluatie kan maken aan de hand van enkele vragen.

Verplichte registratie

Entiteiten die NIS2-plichtig zijn, dienen zich verplicht te registreren, dit uiterlijk op 18 december 2024 (digitale sectoren) of uiterlijk op 18 maart 2025 (andere sectoren).

Welke maatregelen

Essentiële en belangrijke entiteiten die onder het toepassingsgebied vallen, moeten passende en evenredige maatregelen nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen, te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken.

Deze maatregelen omvatten ten minste:

  • beleid inzake risicoanalyse en beveiliging van informatiesystemen;
  • incidentenbehandeling;
  • bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer;
  • de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverlener beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
  • beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
  • basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
  • beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
  • beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;

wanneer gepast, het gebruik van multifactor authenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.

De bestuursorganen of leidinggevenden van essentiële en belangrijke entiteiten moeten de maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren, toezien op de uitvoering ervan en kunnen aansprakelijk worden gesteld voor eventuele inbreuken.

Om ervoor te zorgen dat ze begrijpen welke maatregelen ze goedkeuren, moeten de leden van de bestuursorganen van essentiële en belangrijke entiteiten een cyberbeveiligingsopleiding volgen en hun werknemers regelmatig een soortgelijke opleiding aanbieden. Managers moeten voldoende kennis en vaardigheden verwerven om risico’s te identificeren voor hun organisatie en om de cyberveiligheidsmaatregelen en de gevolgen ervan voor hun organisatie te kunnen beoordelen.

Voor alle details over al deze punten, zie artikelen 20-25 van de richtlijn.

Rapportageverplichtingen en verplichtingen inzake het melden van incidenten

Essentiële en belangrijke entiteiten moeten elk belangrijk incident onverwijld melden bij de bevoegde nationale autoriteiten (onder meer het nationaal CSIRT – in België het CCB).

Meer info: De NIS2-richtlijn : wat betekent dit voor mijn organisatie? | Centrum voor Cybersecurity België (belgium.be)

Eventuele sancties

Inbreuken op het gebied van risicobeheersmaatregelen of incidentmeldingen kunnen worden bestraft:

  • voor essentiële entiteiten: met administratieve geldboeten tot maximum 10 000 000 euro of ten minste 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de essentiële entiteit behoort, afhankelijk van welk bedrag hoger is.
  • voor belangrijke entiteiten: met administratieve geldboeten tot maximum 7 000 000 euro of ten minste 1,4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de belangrijke entiteit behoort, afhankelijk van welk bedrag hoger is.


Voor alle details over sancties, zie artikelen 31-37 van de richtlijn.

Wat kan je doen

Implementatie van het CyberFundamentals Framework

Het CCB heeft een CyberFundamentals Framework ter beschikking gesteld waarbij organisaties worden opgesplitst in 4 niveaus.
Voor elk niveau werden bepaalde minimale cybersecurity maatregelen voorop gesteld dewelke moeten toelaten om te reageren op de ernst van de dreiging waaraan een organisatie wordt blootgesteld

Hierbij is de conclusie dat maatregelen op betrouwbaarheidsniveau:
basic = 82% van de aanvallen kunnen dekken
important = 94% van de aanvallen kunnen dekken
essential = 100% van de aanvallen kunnen dekken

Het niveau small is bedoeld om een eerste inschatting te maken, specifiek voor micro-organisaties.
Het niveau basic bevat de standaard maatregelen voor alle ondernemingen, wat het doel van het CCB is.
De niveaus important en essential zijn al in overeenstemming met de bepalingen in de NIS2-richtlijn.

Essentiële entiteiten moeten het zekerheidsniveau basic of important behalen voor 18/04/2026, het eindniveau moet gecertificeerd zijn voor 18/04/2027.

Essentiële entiteiten moeten hun implementatie regelmatig laten nazien en beoordelen door een derde partij en heeft hiervoor drie opties:

  • ofwel een CyberFundamentals (CyFun®)-certificering, toegekend door een door het CCB erkende conformiteitsbeoordelingsinstantie (na accreditatie door BELAC);
  • ofwel een ISO/IEC 27001-certificatie, toegekend door een geaccrediteerde  conformiteitsbeoordelingsinstantie (CAB). Deze accreditatie kan afgeleverd worden door een accreditatieinstelling die de MLA ondertekend heeft waar ISO27001 onder valt in het kader van de European co-operation for Accreditation (EA) of IAF (International Accreditation Forum).
  • ofwel een inspectie door de inspectiedienst van het CCB (of door een sectorale inspectiedienst).

Belangrijke entiteiten kunnen zich onderwerpen aan dezelfde regelmatige conformiteitsbeoordeling onder CyFun®, die hen een vermoeden van conformiteit geeft.

Wat kan Willux.be voor je doen

Risicoananalyse en -beoordeling
We helpen bij het in kaart brengen van risico’s en kwetsbaarheden in je IT-infrastructuur, dit zowel op technisch, organisatorisch en juridisch vlak.

Implementatie van beveiligingsmaatregelen
Op basis van de geïdentificeerde risico’s, worden technische beveiligingsmaatregelen geïmplementeerd om te voldoen aan NIS2. Denk hierbij aan:

Security booster

De security booster vergroot het inzicht in de Microsoft Secure Score van jouw organisatie.

Dankzij dit dashboard kunnen we snel en adequaat de veiligheidsstatus van jouw organisatie beoordelen en zien welke Microsoft 365-identiteiten, apps en apparaten aandacht nodig hebben.

Managed Security

Via Managed Security worden computers, laptops en andere apparaten die verbonden zijn met uw netwerk, professioneel beveiligd en gemonitord.

Een extern team van beveiligingsspecialisten bewaakt 24/7 jullie systemen en, indien nodig, gaat autonoom over tot actie.

Patch management

Patchmanagement is een geautomatiseerd proces waarin je controle hebt over de patches en updates die benodigd zijn om de organisatie veilig te houden.

Via Patch management houden we software up-to-date en veilig.

DNS filter

Een DNS filter kijkt op basis van het IP-adres of een website op een zwarte lijst staat. Indien dat het geval is wordt deze website geblokkeerd. Hierdoor wordt u nog beter beschermd tegen malware, ransomware en virussen.

Vulnerability management

Vulnerability management is een continu proces om op de hoogte te blijven van nieuwe en opkomende bedreigingen en veranderende omgevingen.

Privileged Access Management (PAM)

PAM bewaakt, detecteert en voorkomt onbevoegde toegang tot kritieke bronnen.

PAM geeft je inzicht in wie bevoegde accounts gebruikt en wat ze doen terwijl ze zijn aangemeld.

Procedures, monitoring en rapportage
Samen met onze partners zorgen we voor robuuste procedures voor het detecteren, monitoren, oplossen en melden van mogelijke incidenten die bedrijfsprocessen kunnen verstoren, inclusief het opstellen van een incident response plan.

Training en bewustwording
Onze cybersecurity & awareness opleiding heeft als doel jouw collega’s te informeren over de verschillende gevaren zodat ze in staat zijn om deze sneller te herkennen en te vermijden, een verkeerd klikje is immers snel gebeurd.

Willux.be & de KMO-portefeuille

Dankzij de KMO-portefeuille is het nog aantrekkelijker om de robuustheid van jouw cybersecurity te testen. Elke aanvraag voor een opleiding of advies met betrekking tot cybersecurity geeft recht op een verhoogd steunpercentage.

Kleine ondernemingen krijgen een tussenkomst van 45% en middelgrote ondernemingen krijgen een tussenkomst van 35%, tegenover respectievelijk 30% of 20% voor andere thema’s.

Winkelmandje

Het product is toegevoegd aan je winkelmandje