De cybersecurityomgeving is uitgegroeid tot een belangrijk aandachtspunt voor alle bedrijven, ongeacht hun omvang. Cyberdreigingen nemen toe en treffen ziekenhuizen, industriële KMO’s, dienstverleners of digitale infrastructuren. Elk incident kan leiden tot aanzienlijke financiële verliezen, bedrijfsstilstand of blijvende reputatieschade.
In dit kader werd de Europese NIS2‑richtlijn (Network and Information Security Directive 2), ook wel de NIS2‑wet genoemd, aangenomen. Sinds oktober 2024 in werking, vervangt deze nieuwe richtlijn de NIS1‑richtlijn van 2016 en legt strengere cybersecurityvereisten op. Ze is bedoeld om een geharmoniseerd cybersecuritykader in te voeren in de lidstaten, om collectieve veerkracht tegen cyberdreigingen te versterken.
In tegenstelling tot de eerste versie breidt NIS2 haar toepassingsgebied uit tot een groot aantal organisaties. Dit omvat essentiële entiteiten en belangrijke entiteiten, evenals netwerk‑ en digitale dienstverleners. Al deze entiteiten moeten zich voorbereiden om te voldoen aan de verplichtingen die de richtlijn oplegt.
Wat is de NIS2‑richtlijn?
De NIS2‑richtlijn, aangenomen onder Verordening (EU) 2022/2555, beoogt de cybersecurity van netwerken en informatiesystemen te versterken. Ze bepaalt dat essentiële entiteiten en belangrijke entiteiten alle nodige maatregelen moeten nemen om de beveiliging van hun systemen te waarborgen.
Cybersecurityvereisten onder NIS2
- Risicobeheer: Bedrijven moeten beheerpraktijken beoordelen en risico’s verbonden aan hun informatiesystemen identificeren.
- Detectie en Reactie: Entiteiten moeten de nodige technische maatregelen implementeren om te reageren op aanzienlijke incidenten.
- Incidentmelding: Elk groot incident moet binnen 24 uur gemeld worden aan de bevoegde autoriteiten.
- Governance: Bestuursorganen moeten actief betrokken zijn bij het cybersecuritybeleid.
Wie wordt getroffen?
NIS2 definieert nauwkeurig de betrokken entiteiten. Het gaat om kritieke entiteiten binnen de volgende categorieën:
- Essentiële entiteiten: sectoren zoals energie, transport, gezondheidszorg, digitale infrastructuren, water, openbare administratie, enz.
- Belangrijke entiteiten: kritische productie-industrieën, digitale diensten, postdiensten, voedselsector, enz.
Essentiële en belangrijke entiteiten moeten de vereiste cybersecuritymaatregelen uitvoeren, zelfs als het bedrijven van bescheiden omvang zijn of met meer dan 50 werknemers maar strategisch van aard zijn. België heeft onder meer bepaald dat entiteiten zich binnen 2 maanden na identificatie moeten registreren bij het Centrum voor Cybersecurity België (CCB).
Wat zijn de risico’s bij niet‑naleving?
Het niet naleven van de verplichtingen van de wet verscherpt de sancties. Boetes kunnen oplopen tot €10 miljoen of 2 % van de wereldwijde omzet. Maar de gevolgen zijn niet alleen financieel. Ze kunnen omvatten:
- Vertrouwensverlies van klanten
- Beëindiging van relaties met strategische partners
- Uitsluiting uit bepaalde markten
Aangezien NIS2 een wettelijk kader biedt, legt de richtlijn directe verantwoordelijkheid op aan bestuursorganen. Dit betekent dat leidinggevenden aansprakelijk kunnen worden gesteld bij een tekortkoming. In België is bedrijfs‑cybersecurity een nationaal aandachtspunt, en het CCB ziet toe op naleving.
Hoe zich voorbereiden op NIS2?
Essentiële en belangrijke entiteiten kunnen zich moeilijk zelfstandig aanpassen. Deskundige ondersteuning is ten zeerste aanbevolen. Bedrijven moeten:
- Systeem‑kwetsbaarheden evalueren
- NIS2‑vereisten in interne processen implementeren
- Bestaande cybersecuritymaatregelen versterken en risico’s beperken
- Incidentprocedures definiëren
- Medewerkers opleiden
Leveranciers en belangrijke entiteiten moeten er ook op toezien dat hun onderaannemers voldoen aan de normen die de richtlijn oplegt.
Waarom begeleiding inschakelen?
Onder de NIS2‑wetgeving zijn de vereisten technisch, organisatorisch en juridisch. Europese ondernemingen moeten klaar zijn vóór 18 maart 2025. Dit omvat:
- Een NIS2-conformiteitsaudit
- Certificering of autorisatie van informatiesystemen
- Voortdurende monitoring
Belangrijke entiteiten kunnen persoonlijke ondersteuning krijgen om aan alle door de richtlijn vereiste maatregelen te voldoen. In België wordt cybersecurity zeer serieus genomen en moeten ondernemingen zich in een duurzaam proces inschrijven.
Wat gebeurt er na 18 maart 2025?
Na 18 maart 2025 moeten alle essentiële en belangrijke entiteiten volledig voldoen aan de vereisten van de NIS2‑richtlijn. Dit omvat het vermogen om significante incidenten tijdig te melden en hun beveiligingsprocessen te documenteren. De richtlijn legt ook een verplichting op tot voortdurende monitoring, met regelmatige audits om naleving te garanderen.
De richtlijn bepaalt dat bedrijven ook aspecten moeten meenemen met betrekking tot hun toeleveringsketens en leveranciers. Digitale dienstverleners en postdiensten moeten actief conformiteit aantonen. Veel organisaties zullen hun contracten en interne beleidslijnen moeten aanpassen om zich af te stemmen op de nieuwe vereisten.
Ten slotte herinnert artikel 21 van de richtlijn eraan dat bedrijven zich moeten registreren bij de bevoegde autoriteiten binnen een redelijke termijn nadat zij zijn geïdentificeerd als essentiële of belangrijke entiteit. Deze verplichting vormt een cruciaal controlemechanisme bij de uitvoering van het Europese cybersecuritybeleid.
Conclusie
De NIS2‑richtlijn is niet gewoon een update van NIS1. Ze vertegenwoordigt een paradigmaverschuiving in bedrijfs‑cybersecurity. Begrijp de verplichtingen, implementeer best practices en engageer u vandaag nog in NIS2‑conformiteit.
Essentiële en belangrijke entiteiten moeten vóór 18 maart 2025 voldoen aan de nieuwe regels. Door nu te handelen, verzekeren zij hun concurrentievermogen en geloofwaardigheid bij klanten, partners en investeerders. Het negeren van de richtlijn brengt sancties en risico’s voor de continuïteit van het bedrijf met zich mee.
NIS2: wat bedrijven moeten weten in 2025
Cybersecurity in België heeft een nieuwe dimensie gekregen: alle bedrijven en leveranciers moeten zich aanpassen. NIS2 verduidelijkt ook de verantwoordelijkheden van leiderschapsteams en beëindigt een tijdperk waarin cybersecurity zonder controle kon worden gedelegeerd. Conformiteit is een kans tot transformatie, geen loutere last.
👉 Wilt u uw conformiteitsniveau beoordelen of begeleiding bij uw NIS2‑compliance ontvangen? Neem nu contact op met Iterates voor maatwerkbegeleiding.
