16/2/2024

NIS2 komt eraan, wat betekent dit voor jouw organisatie

Wat

De afkorting “NIS2” staat voor “Network and Information Systems 2”, de tweede versie van de Europese richtlijn met als doel de cyberbeveiliging binnen de EU te versterken.
De Europese Commissie wil het toepassingsgebied van de vorige richtlijn uitbreiden door meer sectoren en entiteiten in te sluiten, de veiligheidseisen te intensiveren, en een betere samenwerking en informatie-uitwisseling tussen EU-lidstaten te bevorderen.

Tijdschema

Organisaties in België en de rest van de EU zullen moeten voldoen aan nieuwe verplichtingen, deze gaan van kracht in Oktober 2024.
Het is echter nuttig dat organisaties zich nu al voorbereiden op de algemene verplichtingen die uit de richtlijn voortvloeien, zonder de omzettingswetgeving af te wachten, rekening houdend met de toenemende bedreigingen en risico’s.

Voor meer details, bezoek de website van het Centrum voor Cybersecurity België.

MFA monnik tip

Voor wie

De NIS2-richtlijn voegt nieuwe sectoren toe, maar ook binnen bestaande sectoren komen er types entiteiten bij. De sectoren worden in twee groepen verdeeld.

De zeer kritieke sectoren (zie bijlage I van de richtlijn) zijn:

  • energie (elektriciteit, stadsverwarming- en koeling, aardolie, aardgas, waterstof)
  • vervoer (lucht, spoor, water, weg)
  • bankwezen
  • infrastructuur van de financiële markten
  • gezondheidszorg (waaronder niet enkel meer de ziekenhuizen maar nu ook referentielaboratoria, vervaardigers van medische hulpmiddelen of farmaceutische bereidingen en andere)
  • drinkwater
  • afvalwater
  • digitale infrastructuur
  • beheer van ICT-diensten
  • overheid (centraal en regionaal)
  • ruimtevaart

Andere kritieke sectoren (zie bijlage II van de richtlijn) zijn:

  • post- en koerierdiensten
  • afvalstoffenbeheer
  • vervaardiging, productie en distributie van chemische stoffen
  • productie, verwerking en distributie van levensmiddelen
  • vervaardiging (van medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek; informaticaproducten en van elektronische en optische producten; elektrische apparatuur; machines en apparaten en werktuigen n.e.g.,
  • motorvoertuigen, aanhangers en opleggers; andere transportmiddelen)
  • leveranciers van digitale diensten
  • onderzoek

Welke maatregelen

Essentiële en belangrijke entiteiten die onder het toepassingsgebied vallen, moeten passende en evenredige maatregelen nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen, te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken.

Deze maatregelen omvatten ten minste:

  • beleid inzake risicoanalyse en beveiliging van informatiesystemen;
  • incidentenbehandeling;
  • bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer;
  • de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverlener beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
  • beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
  • basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
  • beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
  • beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;

wanneer gepast, het gebruik van multifactor authenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.

De bestuursorganen of leidinggevenden van essentiële en belangrijke entiteiten moeten de maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren, toezien op de uitvoering ervan en kunnen aansprakelijk worden gesteld voor eventuele inbreuken.

Om ervoor te zorgen dat ze begrijpen welke maatregelen ze goedkeuren, moeten de leden van de bestuursorganen van essentiële en belangrijke entiteiten een cyberbeveiligingsopleiding volgen en hun werknemers regelmatig een soortgelijke opleiding aanbieden. Managers moeten voldoende kennis en vaardigheden verwerven om risico’s te identificeren voor hun organisatie en om de cyberveiligheidsmaatregelen en de gevolgen ervan voor hun organisatie te kunnen beoordelen.

Voor alle details over al deze punten, zie artikelen 20-25 van de richtlijn.

Rapportageverplichtingen en verplichtingen inzake het melden van incidenten

Essentiële en belangrijke entiteiten moeten elk belangrijk incident onverwijld melden bij de bevoegde nationale autoriteiten (onder meer het nationaal CSIRT – in België het CCB).

Meer info: De NIS2-richtlijn : wat betekent dit voor mijn organisatie? | Centrum voor Cybersecurity België (belgium.be)

Eventuele sancties

Inbreuken op het gebied van risicobeheersmaatregelen of incidentmeldingen kunnen worden bestraft:

  • voor essentiële entiteiten: met administratieve geldboeten tot maximum 10 000 000 euro of ten minste 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de essentiële entiteit behoort, afhankelijk van welk bedrag hoger is.
  • voor belangrijke entiteiten: met administratieve geldboeten tot maximum 7 000 000 euro of ten minste 1,4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de belangrijke entiteit behoort, afhankelijk van welk bedrag hoger is.


Voor alle details over sancties, zie artikelen 31-37 van de richtlijn.

 

Wat kan je doen

Cybersecurity & awareness training

Via onze cybersecurity & awareness opleiding worden jouw medewerkers bijgeschoold zodat ze potentiële dreigingen (beter) kunnen herkennen, een verkeerd klikje is immers snel gebeurd.

De opleiding heeft als doel jouw collega’s te informeren over de verschillende gevaren zodat ze in staat zijn om deze sneller te herkennen en te vermijden.
Voorkomen is altijd beter dan genezen.

Implementatie van het CyberFundamentals Framework

SafeOnWeb heeft een CyberFundamentals Framework met als doel organisaties te adviseren & te helpen om hun veiligheid nu reeds op een gepast niveau te brengen.

Dit framework is gebaseerd op 4 veelgebruikte frameworks en maakt gebruik van de functies van elk cyberbeveiligingsframework: NIST CSF, ISO 27001 / ISO 27002, CIS Controls en IEC 62443.

De tool bevat specifieke controleobjectieven voor het:

  • beschermen van data
  • drastisch verlagen van het risico op de meest voorkomende cyber aanvallen
  • verhogen van de cyberweerbaarheid van een organisatie

Om te reageren op de ernst van de dreiging waaraan een organisatie wordt blootgesteld, worden, naast het startniveau small, 3 zekerheidsniveaus geboden: basic, important en essential.

Op basis van historische gegevens werden succesvolle cyberaanvallen geanonimiseerd waarbij de
belangrijkste tegenmaatregelen geïdentificeerd werden.

Deze tegenmaatregelen bieden bescherming tegen de bekende cyberaanvallen die relevant zijn voor dat zekerheidsniveau.

Hierbij is de conclusie dat maatregelen op betrouwbaarheidsniveau:

  • basic 82% van de aanvallen kunnen dekken
  • important 94% van de aanvallen kunnen dekken
  • essential 100% van de kunnen aanvallen dekken

Willux.be & de KMO-portefeuille

Dankzij de KMO-portefeuille is het nog aantrekkelijker om de robuustheid van jouw cybersecurity te testen. Elke aanvraag voor een opleiding of advies met betrekking tot cybersecurity geeft recht op een verhoogd steunpercentage.

Kleine ondernemingen krijgen een tussenkomst van 45% en middelgrote ondernemingen krijgen een tussenkomst van 35%, tegenover respectievelijk 30% of 20% voor andere thema’s.

Winkelmandje

Het product is toegevoegd aan je winkelmandje