Nieuwe Europese cybersecurity-regels voor bedrijven op komst: NIS2. Wat, waarom en hoe?

Tips

Vanuit Europa zijn er nieuwe regels inzake cyberbeveiliging van netwerken en informatiesystemen op komst. Ze worden afgekort tot NIS2. Wat is de impact op jouw bedrijf van deze zogenaamde GDPR-richtlijn voor cyberveiligheid ? En waarom bereid je je best nu al voor?

Europese vlag wappert bij een blauwe lucht
Nieuwe NIS2-wetgeving wordt vergeleken met GDPR. © Foto Christian Lue_Unsplash

Wat is NIS2?

De NIS-richtlijnen leggen regels op inzake de beveiliging van netwerk- en informatiesystemen. NIS1 legt sinds 2016 regels op voor essentiële bedrijven zoals water- en telecombedrijven. In mei 2022 keurden het Europees Parlement en de EU-lidstaten de NIS2-richtlijn goed. Deze is breder toepasbaar.

De NIS2-richtlijn is de Europese richtlijn betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Europese Unie.

Deze hervorming legt de basis voor Europa's inspanningen op het gebied van cyberbeveiliging in de komende jaren. Het is een soort GDPR-richtlijn voor cyberveiligheid . Zoals we het kennen van GDPR zal NIS2 van veel meer bedrijven en organisaties uit ongeveer alle sectoren eisen dat zij een complexere reeks verplichtingen in de praktijk brengen.

Wat is het doel van NIS2?

De nieuwe NIS2-richtlijn wil een brede cyberveiligheidsbewustwording creëren. Deze awareness moet ervoor zorgen dat overheden en bedrijven beter het hoofd kunnen bieden aan de toenemende cyberdreigingen. 

De herziene richtlijn pakt ook de beveiliging van toeleveringsketens en betrekkingen tussen leveranciers aan en voert strengere verantwoordingsplicht van het hoogste management in, voor niet-naleving van de cyberbeveiligingsverplichtingen.

De verslagleggingsverplichtingen worden gestroomlijnd, strengere toezichtmaatregelen voor nationale autoriteiten en strengere handhavingsvereisten worden ingevoerd en de sanctieregelingen in de lidstaten worden geharmoniseerd.

Cyberdreigingen zijn brutaler en complexer geworden. Het was absoluut noodzakelijk ons veiligheidskader aan de nieuwe realiteit aan te passen.
Thierry Breton, Eurocommissaris voor de interne markt

Thierry Breton, commissaris voor de interne markt: "Cyberdreigingen zijn brutaler en complexer geworden. Het was absoluut noodzakelijk ons veiligheidskader aan de nieuwe realiteit aan te passen en ervoor te zorgen dat onze burgers en infrastructuur worden beschermd. In het cyberbeveiligingslandschap van vandaag zijn samenwerking en snelle informatie-uitwisseling van het allergrootste belang. Met het akkoord van NIS2 moderniseren we de regels om meer diensten die van vitaal belang zijn voor de samenleving en de economie te beschermen."

👉 Laat analyseren hoe cyberveilig je onderneming vandaag is? Klik verder en profiteer van de VLAIO-subsidies voor dit cybersecurity-verbetertraject.
""
Nathan Baele van Incerta (links) krikt zijn cyberveiligheid op via dienstverlener Toreon (Siebe De Roovere). © Foto VLAIO - ISO800

Gelden deze Europese cybersecurity-regels voor jouw bedrijf?

De NIS2-richtlijn is nu van toepassing op middelgrote en grote entiteiten uit meer sectoren die van cruciaal belang zijn voor de economie en de samenleving, waaronder aanbieders van openbare elektronische-communicatiediensten, digitale diensten, afvalwater- en afvalbeheer, de vervaardiging van kritieke producten, post- en koeriersdiensten, voedingsbedrijven, medische bedrijven….

Als bedrijf moet je zelf controleren of je er onder valt of niet. In grote lijnen zal NIS2 gelden voor de grote en middelgrote bedrijven vanaf vijftig medewerkers of een balanstotaal van tien miljoen euro, hoewel een cyberveiligheidsplan ook aan te raden is voor kleine of zelfs micro-ondernemingen.

De omzetting in nationale wetgeving wordt ongeveer midden 2024 verwacht.

Mensen werken achter computerschermen op kantoor
De NIS2-richtlijn is van toepassing op middelgrote en grote ondernemingen. © Foto Israel Andrade, Unsplash

Wat zijn de belangrijkste regels die NIS2 oplegt?

Bedrijven zullen verplicht zijn een specifiek cyberveiligheidsbeleid uit te werken. Ook deze kan je vergelijken met het beleid dat moest ingevoerd worden inzake verwerking van persoonsgegevens naar aanleiding van de GDPR-richtlijn.

Voor NIS2 zullen ondernemingen een cyberveiligheidsplan moeten uitwerken met deze elementen:

  • een risico-analyse
  • incident handling procedures
  • het nemen van mitigerende maatregelen
  • business continuïteitsplannen in lijn met de vastgestelde risico’s
  • training en bewustwording van het personeel
  • beveiliging van de aanvoerketens
  • meldingsplicht van beveiligingsincidenten
""
NIS2 streeft naar een betere beveiliging van toeleveringsketens. © Foto Chris Pagan, Unsplash

Waarom nu al investeren in cybersecurity?

Nog voor de richtlijn in voege treedt en overtreders beboet worden, is het belangrijk om te beseffen welke regelgeving er op je bedrijf af komt en hoe je vandaag al een stap in de richting zet van een verbeterde CS-maturiteit.

Investeren in cybersecurity hoef je niet alleen te doen voor deze NIS2-richtlijn. Wel om deze 5 redenen waarom cybersecurity je kmo laat groeien.

👉 Bovendien zijn er heel wat steunmaatregelen beschikbaar die de investering betaalbaar houden. Lees Cyberveiliger worden? Dit zijn dé subsidies en steun- en begeleidingsmaatregelen die je moet kennen