7 tips om u voor te bereiden op NIS2

Author info

In december 2020 deed de Europese Commissie een voorstel voor een nieuwe richtlijn over de beveiliging van netwerk- en informatiesystemen (“NIS2-richtlijn” of “NIS2”). De NIS2-richtlijn is bedoeld om het niveau van cybersecurity in de EU te verhogen en de weerbaarheid van kritieke sectoren te verbeteren. In het kort, de NIS2-richtlijn scherpt de regelgeving op het gebied van cybersecurity aan. De reikwijdte wordt groter en de boetes worden hoger.

Hoe kan u zich voorbereiden op de nieuwe regels en verplichtingen van NIS2? Hieronder geven we enkele praktische tips om uw organisatie klaar te stomen voor NIS2 en enkele valkuilen die te vermijden zijn.

1. Ruimer toepassingsbeleid

NIS2 heeft een ruimer toepassingsgebied dan de NIS-richtlijn uit 2016. NIS2 zal niet alleen van toepassing zijn op aanbieders van essentiële diensten (zoals energie, transport, gezondheid en financiën), maar ook op belangrijke entiteiten die afhankelijk zijn van netwerk- en informatiesystemen voor hun activiteiten. Dit omvat een breed scala aan sectoren, zoals de digitale infrastructuur, de publieke sector, de voedselvoorziening, de watersector, de post- en koeriersdiensten, de afvalbeheersector, de chemische sector, de ruimtevaartsector en de defensiesector. Bovendien zal NIS2 ook gelden voor digitale dienstverleners, zoals online marktplaatsen, online zoekmachines, cloud computing-diensten en sociale netwerken. Het is belangrijk om na te gaan of uw organisatie onder één van deze categorieën valt.

Op zich is het niet voldoende om onder één van deze categorieën te vallen. Uw organisatie moet ook van een bepaalde grootte zijn. Het moet minstens een grote of middelgrote onderneming zijn (behoudens enkele specifieke uitzonderingen zoals overheidsdiensten of gekwalificeerde aanbieders van vertrouwensdiensten). Dat betekent dat uw organisatie in principe meer dan 50 werknemers of meer dan 10 miljoen euro jaarlijkse omzet moet hebben.   

2. Klassieke valkuil: niet beginnen... als u nog niet gestart was

Als uw organisatie onder het toepassingsgebied van NIS2 valt, wacht dan niet om uw organisatie voor te bereiden! De NIS2-richtlijn is immers al van toepassing sinds 16 januari 2023 en vervangt de NIS-richtlijn uit 2016. De lidstaten van de Europese Unie hebben tot 17 oktober 2024 de tijd om deze richtlijn in hun nationale wetgeving om te zetten. 

In België werd het voorontwerp van de NIS2-wet en het bijbehorende Koninklijk Besluit eind 2023 gepubliceerd door het Centrum voor Cybersecurity België in het kader van een openbare raadpleging.

3. Risicoanalyse over NIS2-verplichtingen

NIS2 legt een aantal algemene verplichtingen op aan alle onderworpen organisaties op het gebied van cyberbeveiliging. Ze omvatten onder meer het volgende:

  • beleid inzake risicoanalyse en beveiliging van informatiesystemen;
  • incidentenbehandeling;
  • bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer;
  • de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverlener beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
  • beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
  • basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
  • beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
  • beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
  • wanneer gepast, het gebruik van multifactor authenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit. 

Als u vandaag geen zicht hebt op de huidige cybersecuritystatus van uw bedrijf, voer dan zo snel mogelijk een risicoanalyse uit om te bepalen welke maatregelen er vandaag zijn en welke maatregelen nodig zijn voor uw organisatie.

 4. Cyberincidenten tijdig en correct melden

Cyberincidenten zijn anno 2024 onvermijdelijk en kunnen ernstige gevolgen hebben voor de continuïteit, reputatie en aansprakelijkheid van uw organisatie. NIS2 vereist dat alle onderworpen organisaties significante cyberincidenten melden. Dat zijn incidenten die een aanzienlijke of hoge impact hebben op de continuïteit of beschikbaarheid van hun diensten of activiteiten. Een eerste melding (vroegtijdige waarschuwing) moet gebeuren binnen 24 uur na het vaststellen van het incident bij de bevoegde nationale autoriteit of het aangewezen CSIRT (in België het CCB). Daarna moet binnen 72 uren de volledige incidentmelding gebeuren. Deze moet een initiële beoordeling van het incident bevatten. Denk bijvoorbeeld aan de aard, oorzaken, gevolgen en maatregelen die genomen zijn of zullen worden om het incident te verhelpen. Een maand na de volledige incidentmelding moet er een eindverslag worden opgesteld. Dat eindverslag bevat bijvoorbeeld de grondoorzaak (“root cause”) van het incident. 

Het niet of laattijdig melden van cyberincidenten kan gesanctioneerd worden. Deze sancties kunnen variëren van administratieve boetes tot strafrechtelijke vervolging, afhankelijk van de nationale wetgeving. Bovendien kan ook het top management aansprakelijk gesteld worden (zie hieronder).

U moet dus anticiperen op mogelijke cyberincidenten en op de eventuele juridische gevolgen. Uw organisatie moet onder meer een incidentresponsplan opstellen dat aangeeft wie verantwoordelijk is voor wat, welke stappen er moeten worden genomen, welke documentatie er moet worden verzameld, en hoe er moet worden gecommuniceerd met de interne en externe stakeholders. Vergeet hierbij ook niet de menselijke factor, want het is belangrijk om het incidentresponsplan te oefenen, testen en bij te sturen indien nodig.

5. Maak een concreet plan

Beveiligingsmaatregelen implementeren kost tijd (en middelen). Bepaal op basis van uw risicoanalyse welke beveiligingsmaatregelen uw organisatie dient te implementeren, en plan de implementatie daarvan. Het implementeren van bepaalde beveiligingsmaatregelen kan immers zomaar niet van vandaag op morgen. Denk bijvoorbeeld aan het uitrollen van MFA (multifactorauthenticatie), een wachtwoordkluis, een up-to-date firewall, security monitoring, een SIEM-systeem (Security Information & Event Management-systeem) en het opzetten van een SOC (Security Operation Center). Het is belangrijk om uw cybersecuritybeleid niet alleen op papier te hebben staan, maar ook daadwerkelijk te implementeren. 

Bij het implementeren van het cybersecuritybeleid en bijhorende beveiligingsmaatregelen hoort ook het opzetten van processen en het trainen van werknemers. Uw systemen zijn maar zo goed beveiligd als de zwakste schakel, en dat is meestal de gebruiker. Die moet zich bewust zijn van het nut van de genomen beveiligingsmaatregelen, want beveiligingsmaatregelen die als een last worden beschouwd, worden vaak omzeild. Dan verliezen ze vanzelfsprekend hun nut. 

Het implementeren van beveiligingsmaatregelen, het trainen van werknemers en het promoten van een cybersecurity-mindset, vraagt dus tijd. Het is belangrijk dat uw NIS2-actieplan daar op een realistische manier rekening mee houdt. Bepaal in dat NIS2-actieplan de doelstellingen, verantwoordelijkheden, middelen en realistische deadlines voor de implementatie van NIS2 in uw organisatie.

6. Multidisciplinaire en strategische aanpak: juridisch, IT, risk & compliance, verzekering, communicatie  

Cybersecurity en NIS2 zijn zeker geen puur juridische kwesties, noch een loutere IT kwestie. Cybersecurity is een complex onderwerp dat vraagt om een multidisciplinaire aanpak. Het raakt aan verschillende aspecten van de organisatie, zoals de IT-infrastructuur, de bedrijfsprocessen, de communicatie, de reputatie en de aansprakelijkheid. 

Om een gecoördineerde en coherente cyberbeveiligingsstrategie te ontwikkelen en te implementeren is het essentieel om nauw samen te werken met andere afdelingen en experts, zoals de IT-verantwoordelijke, de security officer, de communicatieverantwoordelijke, de compliance officer en eventueel externe adviseurs. Om deze samenwerking tussen verschillende afdelingen en experts te faciliteren, kan u een intern NIS2-team oprichten dat regelmatig vergadert en rapporteert over het NIS2-actieplan (zie hierboven), de vooruitgang en de eventuele knelpunten.

 7. Aansprakelijkheid van top management

Het top management kan aansprakelijk gesteld worden voor inbreuken op NIS2. De Belgische voorontwerp van de NIS2-wet bepaalt het volgende: “Elke natuurlijke persoon die verantwoordelijk is voor of optreedt als wettelijke vertegenwoordiger van een essentiële of een belangrijke entiteit op basis van de bevoegdheid om deze te vertegenwoordigen, de bevoegdheid om namens deze entiteit beslissingen te nemen of de bevoegdheid om controle uit te oefenen op deze entiteit, heeft de bevoegdheid om ervoor te zorgen dat deze entiteit deze wet nakomt. Deze personen zijn aansprakelijk voor het niet nakomen van hun verplichtingen om te zorgen voor de naleving van deze wet.” Een gewaarschuwd mens is er twee waard. Het is zeker aanbevolen om na te kijken of dit al gedekt is in de verzekeringspolis van bestuurders en directieleden.

 

NIS2 is een belangrijke stap in de versterking van de cyberbeveiliging in de EU. Het zal nieuwe uitdagingen en verplichtingen met zich meebrengen voor veel organisaties die afhankelijk zijn van netwerk- en informatiesystemen voor hun activiteiten, ook voor de juridische dienst in uw onderneming. 

Timelex organiseerde op 18 januari samen met het instituut voor bedrijfsjuristen (IBJ) een webinar over NIS2 en de EU Dataverordening (Data Act). Contacteer ons via ons contactformulier voor meer informatie.