Europese richtlijn verplicht organisaties in kritieke sectoren tot veiligheidsmaatregelen
auteur: Ulrich Petré (19/04/2023) – Artikel gepubliceerd in Whitepaper ‘Cybersecurity’ van Voka-KvK Vlaams-Brabant
NIS-2 is de nieuwste Europese richtlijn die maatregelen oplegt voor een hoog niveau van cyberbeveiliging in de EU. Deze richtlijn, die vergelijkbaar is met de GDPR-richtlijn voor privacy, bestaat uit twee verplichtingen: de zorgplicht en de meldplicht.
De zorgplicht houdt in dat organisaties ervoor moeten zorgen dat ze gepaste maatregelen nemen om hun netwerk en informatie veilig te houden. Dit betekent dat ze moeten proberen problemen te voorkomen en als er toch iets mis gaat, dat ze de gevolgen voor de gebruikers van hun diensten en andere diensten zo klein mogelijk proberen te houden. De meldplicht vereist dat organisaties een melding maken bij het CCB (Centre for Cybersecurity Belgium) wanneer ze te maken krijgen met een cyberincident.
De nieuwe NIS-2-richtlijn zorgt ervoor dat veel meer organisaties en sectoren nu moeten zorgen voor goede beveiliging van hun netwerk en informatie. De sectoren zijn ingedeeld in twee groepen: de zeer kritieke sectoren zoals energie, banken en gezondheidszorg en de kritieke sectoren zoals o.a. onderzoek, koerierdiensten, productie- en distributiebedrijven.
De NIS-2-richtlijn maakt ook een onderscheid tussen essentiële en belangrijke organisaties. Een essentiële organisatie is een grote onderneming met minstens 250 werknemers of een jaaromzet van minstens 50 miljoen euro of jaarlijks een balanstotaal van minstens 43 miljoen euro die actief is in een zeer kritieke sector. De overige organisaties met meer dan 50 werknemers of meer dan 10 miljoen euro, ongeacht of je in een zeer kritieke of kritieke sector bevindt, worden gezien als belangrijke organisaties. Het verschil tussen beide groepen zit vooral in de strengheid van het toezicht en de sancties. Essentiële organisaties zullen strenger gecontroleerd en gesanctioneerd worden dan belangrijke organisaties.
Bij inbreuken op één van beide verplichtingen kunnen deze organisaties bestraft worden. Voor de belangrijke en essentiële organisaties kan deze straf een administratieve geldboete zijn. De geldboete voor essentiële organisaties kan oplopen tot 10 miljoen euro of ten minste 2% van hun jaarlijkse wereldwijde omzet. De geldboete voor belangrijke organisaties kan oplopen tot 7 miljoen euro of ten minste 1,4% van de totale wereldwijde jaaromzet.
De NIS-2 is goed nieuws voor cyberveiligheid. Deze richtlijnen dwingt ondernemingen om werk te maken van een gedocumenteerde beveiligingsstrategie en niet meer cyberveiligheid ad hoc te behandelen. Voka’s Digitale Quick Scan bij zo’n 200 Vlaams-Brabantse ondernemingen toonde aan dat slechts één op de 2 bedrijven hier werk van maken. Deze nieuwe maatregelen zal er dan ook voor zorgen dat organisaties van elkaar kunnen leren en zich beter kunnen beschermen.
Op 16 januari 2023 is deze NIS-2-richtlijn in werking getreden. Dit betekent dat België 21 maanden de tijd heeft om de richtlijn in haar eigen wetten op te nemen. Dit moet gebeuren vóór 17 oktober 2024. Organisaties hebben dus nog tijd om zich voor te bereiden op deze nieuwe regels. Weliswaar zal dit gepaard gaan met flinke investeringen. Maar zelfs als je organisatie niet verplicht is om zich aan de regels te houden, is het nog steeds slim om goed op te letten en te leren van deze nieuwe regels. En als ik één tip mag meegeven: “Vergeet vooral niet je medewerkers hier in mee te nemen, want 95% van alle cyberincidenten hebben een menselijke fout aan de basis.”
