Wat betekent de introductie van NIS2 voor jouw onderneming?

De ‘Network and Information Security’ directive (kortweg: NIS2-richtlijn), is de opvolger van de NIS-richtlijn die in 2016 werd vastgesteld door de Europese Unie. Het doel van de NIS-richtlijnen is om het collectieve cyberbeveiligingsniveau van de EU-lidstaten te versterken door de eisen op vlak van handhaving van cyberbeveiliging voor kritieke infrastructuursectoren te verhogen.

Op 18 oktober 2024 zal de NIS2-wet in werking treden. Daarmee versterkt ons land de cyberbeveiligingsmaatregelen, het incidentenbeheer en het toezicht op entiteiten die diensten leveren die essentieel zijn voor het in stand houden van kritieke maatschappelijke of economische activiteiten. Daarnaast verbetert de wet de coördinatie van het overheidsbeleid op het gebied van cyberbeveiliging. De federale wetgever implementeert daarmee de bepalingen van de tweede Cybersecurityrichtlijn, NIS2. Het gaat dus om een voortzetting en uitbreiding van de vorige NIS-richtlijn inzake cyberbeveiliging die vanaf dan wordt opgeheven.

Een entiteit valt onder het toepassingsgebied van de richtlijn als het actief is in één van de (sub)sectoren en types diensten die opgelijst zijn als ‘zeer kritieke sector’ of als ‘andere kritieke sector' binnen de richtlijn én een bepaalde omvang heeft.

In principe gaat het om grote en middelgrote ondernemingen (ondernemingen met meer dan 50 werknemers en meer dan 10 miljoen euro jaarlijkse omzet). Kleine en microbedrijven vallen buiten de scope, tenzij expliciet anders bepaald.

De entiteiten die onder het toepassingsgebied van de NIS2-wet vallen, zijn verplicht om ‘passende en evenredige’ maatregelen te nemen ter beveiliging van hun netwerk- en informatiesystemen, voor de preventie en het beheer van cyberdreigingen en incidenten én om de gevolgen van incidenten voor hun afnemers en voor andere diensten te beperken. Zij zijn onder meer verplicht om te voorzien in risicobeheersmaatregelen en risicoanalyses, opleidingen over cyberbeveiliging, beveiligingsplichten ten aanzien van personeel, enz.

Daarnaast hebben de betrokken entiteiten een meldingsplicht bij ernstige en significante incidenten. Bij een ernstig incident moet de entiteit onmiddellijk een waarschuwing uitsturen, uiterlijk binnen de 24 uur na kennisname van het incident. Binnen de 72 uur na kennisname van het incident moet er ook een officiële melding gemaakt worden. Tenslotte moeten zij binnen één maand na de definitieve afhandeling van het incident een eindverslag bezorgen aan de toezichthoudende instanties.

Naast de verplichte melding van ernstige en significante incidenten door de essentiële en belangrijke entiteiten, is er de mogelijkheid tot vrijwillige melding. Het kan gaan om de melding van niet-significante incidenten en de melding van significante incidenten, cyberdreigingen of quasi-incidenten door entiteiten die niet aan de NIS2-wet zijn onderworpen.

De inspectiedienst van de nationale cyberbeveiligingsautoriteit, het Centrum voor Cybersecurity Belgie (CCB), heeft als taak controles uit te voeren en na te gaan of de essentiële en belangrijke entiteiten de gepaste maatregelen nemen voor het beheer van cyberbeveiligingsrisico’s en of zij de regels met betrekking tot de melding van incidenten naleven.

Voor essentiële entiteiten wordt er een verplichte conformiteitsbeoordeling door het CCB vooropgesteld. Belangrijke entiteiten kunnen zich ook aan een conformiteitsbeoordeling onderwerpen. Dit is op vrijwillige basis want zij zijn enkel onderworpen aan controle na een incident.

Voor alle entiteiten die binnen het toepassingsgebied van de wet vallen, geldt dat zij zich verplicht moeten registreren bij het CCB en nauwkeurige informatie over hun activiteiten moeten verstrekken.

De sancties zijn tweeledig; er kunnen administratieve sancties en geldboetes worden opgelegd. De geldboetes variëren naargelang het om een essentieel bedrijf, dan wel een belangrijk bedrijf gaat:

• Voor bedrijven die geclassificeerd zijn als essentieel, worden er boetes voorzien tot 10 miljoen euro of 2% van hun totale wereldwijze jaaromzet in het voorgaande boekjaar.
• Voor bedrijven die als belangrijk worden beschouwd, bedragen de boetes tot 7 miljoen euro of 1,4% van hun totale wereldwijze jaaromzet in het voorgaande boekjaar.

Het is de taak van de bestuursorganen of leidinggevenden van essentiële en belangrijke entiteiten om de maatregelen voor het beheer van cyberbeveiligingsrisico’s goed te keuren en toe te zien op de uitvoering ervan. Zij kunnen immers aansprakelijk worden gesteld voor eventuele inbreuken.

Om ervoor te zorgen dat ze begrijpen welke maatregelen ze goedkeuren, moeten de leden van de bestuursorganen van essentiële en belangrijke entiteiten een cyberbeveiligingsopleiding volgen en hun werknemers regelmatig een soortgelijke opleiding aanbieden. Managers moeten voldoende kennis en vaardigheden verwerven om risico's te identificeren voor hun organisatie en om de cyberveiligheidsmaatregelen en de gevolgen ervan voor hun organisatie te kunnen beoordelen.

Tot de mogelijke maatregelen behoren: waarschuwingen, aanbevelingen, toezicht, bindende instructies, gerichte en ad-hoc inspecties, bekendmakingsverplichtingen en administratieve geldboetes.

In het kader van de voorzorgsmaatregelen die betrokken entiteiten moeten nemen voor de NIS2, is het afsluiten van een cyberverzekering een belangrijk element.

Vooraleer men een cyberverzekering kan onderschrijven, moet de onderneming beschikken over enkele essentiële elementen van cybersecurity (zoals multi-factor authentication, offline back-ups, …). Dit zorgt ervoor dat de onderneming al een grondige risicobeoordeling moet uitvoeren en passende maatregelen moet nemen om de verzekering te kunnen onderschrijven. Dit komt de cyberweerbaarheid van de onderneming ten goede.

Daarnaast zal een onderneming bij een mogelijk incident bijstand van experts kunnen inroepen via deze verzekering, zodat het incident zo efficiënt en snel mogelijk kan worden afgehandeld. De cyberverzekering zorgt zo enerzijds voor financiële bescherming en anderzijds voor bedrijfscontinuïteit.

Aangezien er aan de bestuurders van de betrokken entiteiten specifieke voorwaarden worden opgelegd, mag ook het belang van het afsluiten van een verzekering bestuurdersaansprakelijkheid niet onderschat worden.

We verwachten op korte termijn geen problemen qua dekking onder beide polissen door de invoering van NIS2. Allicht zullen verzekeraars afwachten en monitoren of de wijzigingen effecten met zich meebrengen.