Van medische hulpmiddelen en voedselproductie tot koeriersdiensten en chemische industrie: door NIS2 moeten veel meer organisaties zich aan strengere Europese cybersecurityregels houden. Wanneer uw organisatie als essentiële of belangrijke entiteit wordt beschouwd, valt u onder de scope van de richtlijn. Welke impact heeft de relevante verplichting op uw organisatie?
Veel meer sectoren dan NIS1
Vanaf 17 oktober 2024 moeten alle EU-lidstaten de tweede Network and Information Security (NIS2)-richtlijn in hun nationale wetgeving opgenomen hebben. NIS2 bestrijkt veel meer sectoren dan zijn voorganger uit 2016. Waar NIS1 van toepassing is op enkele honderden Belgische organisaties, worden er dat bij NIS2 enkele duizenden.
De nieuwe Europese richtlijn legt een waaier aan cybersecuritygerelateerde eisen op. Die geldt voor essentiële en belangrijke entiteiten, waarvoor wordt gekeken naar de sector en de organisatiegrootte. We leggen de consequenties van deze relevante plicht uit.
'Passende en evenredige' beveiligingsmaatregelen
De NIS2-richtlijn legt uw organisatie een zorgplicht op, die inhoudt dat u 'passende' en 'evenredige' cybersecuritymaatregelen moet nemen. Het doel is drieledig: risico's voor uw netwerk- en informatiesystemen beheren, incidenten voorkomen en de gevolgen van incidenten beperken.
De tekst van de Europese richtlijn is niet heel specifiek over de vereiste beveiligingsmaatregelen, maar er zijn wel zeven aandachtsgebieden genoemd. Denk bijvoorbeeld aan beleid voor risicoanalyse en passende beveiligingsmaatregelen, beveiliging van de toeleveringsketen, kwetsbaarhedenbeheer, bewustzijn en training van medewerkers en organisaties en voortdurende evaluatie. Op al die gebieden moet u volgens NIS2 de industriestandaarden volgen. Dat wil zeggen dat u passende en evenredige maatregelen moet nemen: afhankelijk van de beschikbare technologie en standaarden en in verhouding met het risico en de kosten.
Incidenten tijdig en adequaat melden
Naast een zorgplicht heeft u ook een meldplicht. Dit betekent dat u ieder ernstig incident direct dient te melden bij het Centrum voor Cybersecurity België (CCB). Het gaat dan om incidenten die uw operationele diensten ernstig (kunnen) beïnvloeden, die een financiële impact kunnen hebben of waarbij natuurlijke of rechtspersonen als derde partij (kunnen) worden getroffen door aanzienlijke materiële of immateriële schade.
De meldplicht omvat:
1. Direct een eerste melding doen
Binnen de 24 uur na het opmerken van het incident moet u het melden bij het CBB. Daarbij moet u bepaalde basisinformatie opgeven over het incident, onder meer over het risico op verspreiding naar andere sectoren of naar het buitenland. U moet ook melden of er een vermoeden is van kwaadwillig opzet.
2. Binnen 72 uur volledige melding
Uiterlijk 72 uur na de vaststelling moet u een volledige melding indienen met alle beschikbare informatie. Onder meer moet u het type aanval beschrijven, de vastgestelde kwetsbaarheden, alle getroffen systemen, diensten en data, de belangrijkste tijdstippen, een gelijktijdige beoordeling van de ernst van de gevolgen (niet alleen voor uzelf, maar ook voor externe partijen zoals klanten en leveranciers), en de proportionele acties.
3. Eindverslag en tussentijds verslag
Uiterlijk één maand na de volledige melding moet u een eindverslag verzenden. Naast alle hiervoor genoemde punten neemt u ook de lessen die getrokken kunnen worden mee. Is het incident nog niet afgerond? Dan is het verplicht om op dat moment een tussentijds verslag te maken. Het definitieve verslag volgt zodra de afhandeling van het incident is afgerond.
4. Klanten informeren
Gaat het om een ernstig incident dat de dienstverlening van uw klanten kan schaden? Dan bent u verplicht om ook – liefst zo snel mogelijk – uw klanten te informeren. Bovendien moet u hen adviseren over stappen waarmee ze de negatieve effecten kunnen minimaliseren.
Meer verantwoordelijkheden voor het topmanagement
NIS2 legt expliciet bepaalde verantwoordelijkheden neer bij het topmanagement van de organisaties waar de richtlijn van toepassing is voor de essentiële entiteiten. Het idee erachter: cybersecurity moet integraal onderdeel worden van de strategische bedrijfsvoering. Het mag dus niet enkel gezien worden als een technisch of operationeel probleem voor operationele managers. Mede door de betrokkenheid van het bestuur komt er, als het goed is, een cultuurverandering tot stand. Daarin wordt beveiliging gezien als cruciale voorwaarde voor de bedrijfscontinuïteit.
De volgende verantwoordelijkheden voor bestuurders vloeien voort uit NIS2:
- (mede) bepalen van cybersecuritybeleid;
- toewijzen van voldoende middelen;
- beslissen over de belangrijkste cybersecuritymaatregelen;
- toezien op de uitvoering en effectiviteit van deze maatregelen;
- relevante cybersecurity-opleidingen volgen.
Met behulp van continue opleidingen moeten ze de risico's leren begrijpen en zowel de cybersecuritymaatregelen als de mogelijke gevolgen daarvan kunnen beoordelen. De topmanagers van essentiële entiteiten kunnen zelfs persoonlijk aansprakelijk worden gesteld voor het niet-naleven van regelgeving. Een echte schadevergoedingsplicht is niet voorzien in NIS2, maar uiteraard kunnen derden die schade hebben geleden wel een schadevergoeding eisen wegens het niet-nakomen van de NIS2-verplichtingen.
Stevige sancties
Voldoet uw organisatie niet aan de eisen op het gebied van risicobeheer of incidentmelding? Dan kan dit tot geldboetes leiden. Essentiële entiteiten riskeren een boete van maximaal 10 miljoen euro of 2 procent van de totale mondiale jaaromzet (afhankelijk van welk bedrag het hoogste is). Bij belangrijke entiteiten is dit 7 miljoen euro of 1,4 procent.
Naast financiële sancties kunnen de autoriteiten (mits dit is opgenomen in de nationale wetgeving) ook andere maatregelen opleggen. Zo kunnen ze uw organisatie verplichten om specifieke maatregelen te nemen, klanten te informeren of een audit te implementeren.
Gedegen voorbereiding: begin nu
Goed om te voorkomen: u bent zelf volledig verantwoordelijk voor het nemen van de juiste (voorbereidende) maatregelen. De Belgische overheid informeert wel in het algemeen, maar voert geen actieve communicatie naar de organisaties wanneer de NIS2-richtlijn van toepassing is.
Veel hangt af van de volwassenheid van uw cybersecuritylandschap, compliant worden vraagt doorgaans ook noodzakelijke investeringen.
Extra cybersecuritymaatregelen
De eerste stap is voor veel NIS2-gereguleerde organisaties een security assessment: hoe volwassen is het securitylandschap en welke extra maatregelen zijn nodig? U kunt een beveiligingsaudit laten uitvoeren of, als u kundig genoeg bent, zelf aan de slag gaan met het Cyber Fundamentals Framework van het CCB.
Kosten- en tijdsintensieve maatregelen
Sommige maatregelen kunt u relatief eenvoudig en snel realiseren, zoals security awareness-trainingen. Andere maatregelen impliceren veel investeringen en tijd. Denk aan het implementeren van een Security Operations Center en het optimaliseren van de beveiliging in de hele toeleveringsketen. Denk na of u hier zelf in wil investeren, bijvoorbeeld door (cybersecurity-)professionals aan te trekken, of u dit eerder wil uitbesteden aan een Managed Service Provider.
Beleid, procedures en processen
Er kruipt veel tijd in het opstellen van beleid, procedures en processen, die u vastlegt in (onder meer) een incidentrespons-, disaster recovery- en crisisbeheerplan. We raden ook aan om zo nodig processen en procedures te ontwikkelen voor bijvoorbeeld toegangscontrole (waaronder authenticatie en autorisatie), logging, leveranciersbeheer en het regelmatig beoordelen van de beveiligingsmaatregelen.
Uitbesteden: maximale zekerheid, minimale inspanning
De cybersecuritywereld evolueert razendsnel en wordt met de dag complexer. Besef dat u afhankelijk bent van de evolutie van de technologie en de standaarden als u zelf de cybersecurity in handen houdt. U moet die dan ook op de voet volgen. Als u dit luik uitbesteedt, dan wordt dit echter de verantwoordelijkheid van de serviceprovider.
De juiste cybersecurityprofessionals vinden is bovendien vaak een huzarenstuk. Zo is er in de markt een grote schaarste aan deze profielen. Veel organisaties die aan de NIS2-regels moeten beantwoorden besteden hun cyberbeveiliging dan ook (gedeeltelijk) uit aan een gespecialiseerde partner.
Wilt u ontdekken wat u nog moet doen om NIS2-compliant te worden? Heeft u ondersteuning nodig bij het implementeren van concrete maatregelen en procedures? Wilt u een succesvol beheerde beveiliging van uw netwerk en IT-omgeving, proactief en 24/7, met cybersecurityprofessionals aan de knoppen?
Cheops heeft de kennis, expertise en tools om organisaties – hoe groot en kritisch ook – door de NIS2-complexiteit te gidsen.
Tijd om uw cybersecurity aanpak te verbeteren?
Cheops zorgt ervoor dat uw IT-beveiliging perfect in orde is, zodat u zich nergens zorgen over hoeft te maken.