auteur: Ulrich Petré (19/04/2023) – Artikel gepubliceerd in Whitepaper ‘Cybersecurity’ van Voka-KvK Vlaams-Brabant
NIS-2 is de nieuwste Europese richtlijn die maatregelen oplegt voor een hoog niveau van cyberbeveiliging in de EU. Deze richtlijn, die vergelijkbaar is met de GDPR-richtlijn voor privacy, bestaat uit twee verplichtingen: de zorgplicht en de meldplicht.
De zorgplicht houdt in dat organisaties ervoor moeten zorgen dat ze gepaste maatregelen nemen om hun netwerk en informatie veilig te houden. Dit betekent dat ze moeten proberen problemen te voorkomen en als er toch iets mis gaat, dat ze de gevolgen voor de gebruikers van hun diensten en andere diensten zo klein mogelijk proberen te houden. De meldplicht vereist dat organisaties een melding maken bij het CCB (Centre for Cybersecurity Belgium) wanneer ze te maken krijgen met een cyberincident.
De nieuwe NIS-2-richtlijn zorgt ervoor dat veel meer organisaties en sectoren nu moeten zorgen voor goede beveiliging van hun netwerk en informatie. De sectoren zijn ingedeeld in twee groepen: de zeer kritieke sectoren zoals energie, banken en gezondheidszorg en de kritieke sectoren zoals o.a. onderzoek, koerierdiensten, productie- en distributiebedrijven.
De NIS-2-richtlijn maakt ook een onderscheid tussen essentiële en belangrijke organisaties. Een essentiële organisatie is een grote onderneming met minstens 250 werknemers of een jaaromzet van minstens 50 miljoen euro of jaarlijks een balanstotaal van minstens 43 miljoen euro die actief is in een zeer kritieke sector. De overige organisaties met meer dan 50 werknemers of meer dan 10 miljoen euro, ongeacht of je in een zeer kritieke of kritieke sector bevindt, worden gezien als belangrijke organisaties. Het verschil tussen beide groepen zit vooral in de strengheid van het toezicht en de sancties. Essentiële organisaties zullen strenger gecontroleerd en gesanctioneerd worden dan belangrijke organisaties.
Bij inbreuken op één van beide verplichtingen kunnen deze organisaties bestraft worden. Voor de belangrijke en essentiële organisaties kan deze straf een administratieve geldboete zijn. De geldboete voor essentiële organisaties kan oplopen tot 10 miljoen euro of ten minste 2% van hun jaarlijkse wereldwijde omzet. De geldboete voor belangrijke organisaties kan oplopen tot 7 miljoen euro of ten minste 1,4% van de totale wereldwijde jaaromzet.
De NIS-2 is goed nieuws voor cyberveiligheid. Deze richtlijnen dwingt ondernemingen om werk te maken van een gedocumenteerde beveiligingsstrategie en niet meer cyberveiligheid ad hoc te behandelen. Voka’s Digitale Quick Scan bij zo’n 200 Vlaams-Brabantse ondernemingen toonde aan dat slechts één op de 2 bedrijven hier werk van maken. Deze nieuwe maatregelen zal er dan ook voor zorgen dat organisaties van elkaar kunnen leren en zich beter kunnen beschermen.
Op 16 januari 2023 is deze NIS-2-richtlijn in werking getreden. Dit betekent dat België 21 maanden de tijd heeft om de richtlijn in haar eigen wetten op te nemen. Dit moet gebeuren vóór 17 oktober 2024. Organisaties hebben dus nog tijd om zich voor te bereiden op deze nieuwe regels. Weliswaar zal dit gepaard gaan met flinke investeringen. Maar zelfs als je organisatie niet verplicht is om zich aan de regels te houden, is het nog steeds slim om goed op te letten en te leren van deze nieuwe regels. En als ik één tip mag meegeven: “Vergeet vooral niet je medewerkers hier in mee te nemen, want 95% van alle cyberincidenten hebben een menselijke fout aan de basis.”
Deze site maakt gebruik van cookies, zodat wij je de best mogelijke gebruikerservaring kunnen bieden. Cookie-informatie wordt opgeslagen in je browser en voert functies uit zoals het herkennen wanneer je terugkeert naar onze site en helpt ons team om te begrijpen welke delen van de site je het meest interessant en nuttig vindt.
Meer info over onze Privacy Policy vind je hier terug.
Strikt noodzakelijke cookie moet te allen tijde worden ingeschakeld, zodat we je voorkeuren voor cookie-instellingen kunnen opslaan.
Als je deze cookie uitschakelt, kunnen we je voorkeuren niet opslaan . Dit betekent dat elke keer dat je deze site bezoekt het nodig is om cookies weer in te schakelen of uit te schakelen.
Meer informatie over ons Cookie Policy