Terug naar het overzicht
2 januari 2025

Wat betekent de introductie van NIS2 voor jouw onderneming?

In het najaar van 2024 is de NIS2-richtlijn in werking getreden. Het doel is om de cyberveiligheid en het incidentenbeheer van de EU-lidstaten verder te optimaliseren. Op welke ondernemingen is NIS2 van toepassing? Wie volgt de toepassing op, welke sancties zijn bepaald en welke impact is er op verzekeringsvlak? Hoe kunnen wij jouw organisatie ondersteunen in het NIS2-traject? Cyberexpert Tom Van Britsom licht het graag toe.

I Stock 874075212

Wat is de NIS2-richtlijn precies?

Op 18 oktober 2024 is de ‘Network and Information Security’ directive, kortweg: NIS2-richtlijn, in werking getreden. Dit is de opvolger van de NIS-richtlijn die in 2016 werd vastgesteld door de Europese Unie. Het doel van de NIS-richtlijnen is om het collectieve cyberbeveiligingsniveau van de EU-lidstaten te versterken door de eisen op vlak van handhaving van cyberbeveiliging voor kritieke infrastructuursectoren te verhogen. De invoering van NIS2 betekent een voortzetting en uitbreiding van de vorige NIS-richtlijn inzake cyberbeveiliging die sindsdien is opgeheven.

NIS2 is voor cyberveiligheid wat GDPR is voor gegevensbescherming.

Op welke ondernemingen is NIS2 van toepassing?

Dankzij NIS2 versterkt ons land de cyberbeveiligingsmaatregelen, het incidentenbeheer en het toezicht op entiteiten die diensten leveren die essentieel zijn voor het in stand houden van kritieke maatschappelijke of economische activiteiten. Tom Van Britsom: “Denk aan essentiële sectoren zoals energie, transport, bankwezen, gezondheidszorg, water, digitale infrastructuur en infrastructuur van de financiële markten. Concreet wordt een transportbedrijf als essentieel beschouwd omdat het instaat voor de bedeling van onze voeding zoals het vervoer van de aardappel naar de supermarkt.”

Onderscheid tussen ‘zeer kritieke sectoren’ en ‘andere kritieke sectoren’

Welke ondernemingen binnen het toepassingsgebied vallen, is niet alleen afhankelijk van de sector waarin je actief bent maar ook van de grootte van je onderneming. Als ondernemer is het aan jou om die inschatting correct te maken. Een onderneming valt doorgaans onder het toepassingsgebied van de richtlijn als het actief is in één van de (sub)sectoren en types diensten die opgelijst zijn als ‘zeer kritieke sector’ of als ‘andere kritieke sector’ (zie afbeelding hieronder).

CCB Infographic1 NIS2 N crop
*Bron: Centrum voor Cybersecurity België

In principe gaat het om grote en middelgrote ondernemingen. Dit zijn ondernemingen met meer dan 50 werknemers en meer dan 10 miljoen euro jaarlijkse omzet (zie afbeelding hieronder). Kleine en microbedrijven vallen buiten de scope, tenzij expliciet anders bepaald.

CCB Infographic3 NIS2 N crop
*Bron: Centrum voor Cybersecurity België

Wat als jouw onderneming binnen het toepassingsgebied valt?

Je bent in dat geval verplicht om passende en evenredige securitymaatregelen te nemen. Deze verplichting is tweeledig:

  • Je bent onder meer verplicht om te voorzien in risicobeheersmaatregelen en risicoanalyses, opleidingen over cyberbeveiliging, beveiligingsplichten ten aanzien van personeel, …
  • Ook heb je een meldingsplicht bij ernstige en significante incidenten.
    • Bij een ernstig incident moet je onmiddellijk een waarschuwing uitsturen, uiterlijk binnen de 24 uur na kennisname van het incident.
    • Binnen de 72 uur na kennisname van het incident moet je ook een officiële melding maken.
    • Tenslotte moet je binnen één maand na de definitieve afhandeling van het incident een eindverslag bezorgen aan de toezichthoudende instanties.

💡 Voor alle ondernemingen die binnen het toepassingsgebied van de wet vallen, geldt dat zij zich verplicht moeten registreren bij het Centrum voor Cybersecurity België (CCB) en nauwkeurige informatie over hun activiteiten moeten verstrekken.

Cyber resized
Als onderneming ben je onder meer verplicht om te voorzien in risicobeheersmaatregelen en risicoanalyses, opleidingen over cyberbeveiliging en beveiligingsplichten ten aanzien van je personeel.
Tom Van Britsom • Expert Cybersecurity

Welke instantie volgt de toepassing van NIS2 op de voet?

De inspectiedienst van de nationale cyberbeveiligingsautoriteit, het Centrum voor Cybersecurity Belgie (CCB), heeft als taak controles uit te voeren:

  • Voor essentiële entiteiten is er een verplichte conformiteitsbeoordeling door het CCB.
  • Belangrijke entiteiten kunnen zich op vrijwillige basis aan een conformiteitsbeoordeling onderwerpen. Voor hen is een controle alleen verplicht na een incident, maar een goede voorbereiding blijft aangewezen.

Welke sancties dreigen er bij niet-naleving van NIS2?

De sancties zijn heel divers, van waarschuwingen, aanbevelingen, toezicht, bindende instructies, gerichte en ad-hoc inspecties tot bekendmakingsverplichtingen en administratieve geldboetes.

We zoomen in op de meest spraakmakende sancties:

  • Er kunnen administratieve sancties en geldboetes worden opgelegd. De geldboetes variëren naargelang het om een essentieel bedrijf dan wel een belangrijk bedrijf gaat. Administratieve boetes kunnen oplopen tot 10 miljoen euro of 2% van je totale wereldwijze jaaromzet.
  • Je kan als bestuurder persoonlijk aansprakelijk worden gesteld. Zo kan je een verbod krijgen op de uitvoering van je taken. Je kan ook verplicht worden om de cyberveiligheid alsnog te verbeteren door het management team of je medewerkers een cyberbeveiligingsopleiding te laten volgen.

Wat is de impact van NIS2 op de verzekeringen?

In het kader van de voorzorgsmaatregelen die betrokken ondernemingen moeten nemen voor de NIS2, springen twee verzekeringen mogelijk in het oog:

  • Bestuurdersaansprakelijkheidsverzekering: vandaag stellen we (nog) geen impact vast want geen enkele verzekeraar sluit de gevolgen van NIS2 momenteel uit.
  • Cyberverzekering: een NIS2-boete is een administratieve boete, net als de GDPR-boete, als bestraffing op je securitybeleid. Beide boetes kunnen verzekerd worden binnen je cyberverzekering.
Je kan NIS2 als een reglement bekijken en alleen het bestraffende aspect zien. Mijn advies: beschouw het als een duidelijke richtlijn om gericht te investeren om zo goed mogelijk incidenten te voorkomen, en je te wapenen voor als het alsnog misgaat.

Hoe kunnen wij jouw onderneming ondersteunen in het NIS2-traject?

Onze dienstverlening is erg uitgebreid en bestaat uit vier luiken voor een optimale bescherming:

  • Cyberverzekering: we zorgen voor een ruime en actuele dekking op maat met professionele bijstand in geval van een incident.
  • Phishing training: via aangepaste opleidingen bouwen we samen aan de “human firewall” van jouw onderneming.
  • Cybersecurity workshop: we begeleiden je tijdens een interactieve workshop van A tot Z doorheen een realistisch cyberincident zodat jouw onderneming de stresstest doorstaat. Aangeraden door en voor CFO’s!
  • Business Continuity Plan en Cyber Incident Response Plan: we geven je een hands-on stappenplan dat je kan volgen tijdens een cyberincident.

Gere­la­teer­de berichten

DIGF13681

De gemoeds­rust van een cyberverzekering

Pers
09.04.2024

Bij Vanbreda Risk & Benefits stellen we vast dat bedrijven steeds vaker een cyberpolis afsluiten door groeiende digitale bedreigingen en de toenemende afhankelijkheid van technologie. Collega's Jonas Mannaerts en Steven Dierckx lichten in Sterck magazine onder meer toe wat een cyberpolis inhoudt en vooral ook waarom werknemers de belangrijkste schakel zijn om cybercriminaliteit tegen te gaan.

Lees meer
Lees meer over De gemoedsrust van een cyberverzekering
Cyber laptop

Cyber­aan­val­len boven­aan de lijst van risi­co’s voor bedrijven

Pers
08.02.2024

De opkomst van digitale gevaren is in 2023 onverminderd doorgegaan. Volgens de risicobarometer ligt cyberfraude voor op natuurrampen, de energiecrisis en zelfs oorlogsrisico's. Onze cyberexpert Tom Van Britsom gaf meer tekst en uitleg in de Franstalige krant L'Echo.

Lees meer
Lees meer over Cyberaanvallen bovenaan de lijst van risico's voor bedrijven
Cyber laptop

Cyber­stu­die Van­b­re­da: bij 21% van de cybe­rin­ci­den­ten in 2022 was er voor meer dan 100.000 euro schade

Cyber en Fraude
13.02.2023

Belgische bedrijven zijn zich meer dan ooit bewust van digitale risico’s en zien de noodzaak in om zich hiertegen te beschermen via een cyberverzekering. Uit de schadecijfers van onze cyberportefeuille blijkt ook dat cyberincidenten Belgische bedrijven steeds duurder komen te staan. In 2022 lag de totale kost van 1 op 5 incidenten boven de 100.000 euro.

Lees meer
Lees meer over Cyberstudie Vanbreda: bij 21% van de cyberincidenten in 2022 was er voor meer dan 100.000 euro schade
Videopodcast cyber insurance

Video­pod­cast — Cyber insurance

Videopodcast
07.10.2022

In de eerste aflevering van onze Succes Verzekerd-podcast verwelkomen we cybersecurity-expert Tom Van Britsom aan de microfoon. Tom is manager business development met een diepgewortelde interesse in cyber security en cyber insurance.

Lees meer
Lees meer over Videopodcast - Cyber insurance
CTA Image

Meer info of advies op maat van jouw onderneming?

Neem contact op via het contactformulier.

Contact
Zoeken