De nieuwe Europese richtlijn NIS2 legt essentiële en belangrijke entiteiten uiteenlopende maatregelen op rond cyberbeveiliging. Als CIO van zo’n organisatie krijgt u daardoor belangrijke verantwoordelijkheden. Bovendien kunt u persoonlijk aansprakelijk gesteld worden als uw organisatie de NIS2-richtlijn niet naleeft. Hoe zit dat precies?
Uw verantwoordelijkheden als CIO
NIS2 legt bestuursleden en leidinggevenden, waaronder CIO’s, een reeks verplichtingen op. Hierdoor krijgt u er als CIO de volgende verantwoordelijkheden bij:
- De vereisten van NIS2 kennen
De overheid voert geen actieve communicatie naar de organisaties waarop de NIS2-richtlijn van toepassing is. Het is uw verantwoordelijkheid als CIO om de verplichtingen voor uw organisatie te onderzoeken en de gepaste stappen te ondernemen om te voldoen aan de richtlijn. Lees daarom de NIS2-richtlijn grondig door om de vereisten en doelstellingen te begrijpen, en ga indien nodig te rade bij experts. Volg ook eventuele wijzigingen van de wetgeving, zoals de omzetting in de Belgische wetgeving, op de voet. U bent er bij veranderingen immers zelf verantwoordelijk voor dat de beveiligingspraktijken van uw organisatie voldoen aan de nieuwste normen.
- Risico’s in kaart brengen en aanpakken
NIS2 verplicht u om passende en evenredige technische, operationele en organisatorische maatregelen te nemen om risico’s te beheren. Dat begint bij het in kaart brengen van uw IT-omgeving, zodat u de betrokken assets, diensten, gebruikers, applicaties en apparaten kent. Identificeer vervolgens mogelijke risico’s, kwetsbaarheden en bedreigingen met een security audit. Een gespecialiseerde IT-partner kan u hierbij ondersteunen. Beoordeel de ernst van de gevonden risico’s voor alle netwerk- en informatiesystemen binnen uw organisatie. Stel op basis daarvan een plan van aanpak met prioriteiten op. Pak de risico’s vervolgens aan, te beginnen met diegenen die het meeste impact hebben.
- Toezicht houden op risicobeheersmaatregelen
Het volstaat niet om als CIO maatregelen voor cyberbeveiligingsrisicobeheer goed te keuren. NIS2 vraagt ook dat u de uitvoering van deze maatregelen bewaakt. U moet een beleid en procedures opstellen om de effectiviteit van de genomen maatregelen te beoordelen. Bovendien mag u zich niet beperken tot een eenmalige risicoanalyse. Uw netwerkomgeving verandert, de omstandigheden wijzigen en ook de mogelijke bedreigingen evolueren. Actualiseer uw risicoanalyse daarom elke zes maanden om in regel met de NIS2-richtlijn te blijven. Het is interessant om hierbij een beroep te doen op een Managed Service Provider, omdat deze dat volcontinu voor u kan doen.
- Trainingen volgen
U moet relevante trainingen volgen. Die moeten u in staat stellen om risico’s te identificeren en praktijken op het vlak van cyberbeveiligingsrisicobeheer te beoordelen. Risicobeheer vormt immers een belangrijk focusgebied van NIS2, en daar moet u als CIO in onderlegd zijn.
- Medewerkers sensibiliseren
NIS2 verplicht u om gelijkaardige trainingen aan alle werknemers aan te bieden, uiteraard met een verschillende insteek, aangepast aan hun werk. Beveiliging is immers een gedeelde verantwoordelijkheid van iedereen. Volgens het 2023 Data Breach Investigations Report van Verizon is bij 74% van alle gegevenslekken een gebruiker betrokken. Het kan hier gaan om een menselijke fout, om misbruik van gestolen inloggegevens of social engineering. Door de waakzaamheid van uw medewerkers te verhogen, is het mogelijk om veel aanvallen tegen te houden en incidenten te voorkomen. U moet daarom ook sensibiliseringscampagnes opzetten die gericht zijn naar alle medewerkers, zoals onze managed security awareness trainingen. Op die manier worden ze zich meer bewust van de verantwoordelijkheid die ze dragen en kunnen ze beveiligingsrisico’s herkennen.
Wat als u de NIS2-richtlijn niet naleeft?
Inbreuken op de verplichtingen van NIS2 kunnen leiden tot boetes voor uw organisatie. Maar voor bestuursleden en leidinggevenden, waaronder ook CIO’s, blijft het niet naleven van de NIS2-richtlijn evenmin zonder gevolgen.
- Persoonlijke aansprakelijkheid
Als u als CIO uw verantwoordelijkheden verzuimt om uw organisatie NIS2 te laten naleven, kan het Centrum voor Cybersecurity België (CCB) u persoonlijk aansprakelijk stellen voor overtreding van de regels. Dat heeft mogelijk juridische en financiële consequenties voor uzelf. Als blijkt dat u nalatig bent geweest of onvoldoende maatregelen genomen hebt om de cyberbeveiligingsrisico’s te beheren, kunt u boetes of andere sancties krijgen.
- Verbod op leidinggevende functie
Het CCB kan, als nationale autoriteit die toeziet op de naleving van NIS2, nog een andere sanctie opleggen aan CIO’s die hun verantwoordelijkheden niet nakomen. U kunt namelijk een tijdelijk verbod krijgen om nog leidinggevende functies uit te oefenen binnen uw organisatie.
Conclusie: NIS2 is een grote verantwoordelijkheid
Het mag duidelijk zijn: NIS2 is geen papieren tijger. De Europese cybersecurityrichtlijn legt heel concrete verplichtingen op aan organisaties, waar u als CIO de verantwoordelijkheid voor draagt. Als u nalatig bent of onvoldoende maatregelen neemt om de cyberbeveiligingsrisico’s in uw organisatie te beheren, kan de nationale autoriteit u persoonlijk aansprakelijk stellen en u tijdelijk verbieden om nog leidinggevende functies uit te oefenen binnen uw organisatie. Het is dan ook heel belangrijk om een actieve rol te spelen in de naleving van NIS2 en uw verantwoordelijkheid op te nemen.
Blijf op de hoogte van de laatste ontwikkelingen rondom NIS2
Bekijk onze NIS2-kennispagina voor diepgaande informatie, nuttige bronnen en praktische tips om jouw organisatie beter te beschermen.