IT SECURITY

NIS2 - Wat is het en hoe kan Office-IT je helpen?

De Europese Commissie heeft met de NIS2-richtlijn een belangrijke stap gezet om de digitale veiligheid in Europa verder te versterken. Maar wat betekent dit precies voor jouw bedrijf?

In dit artikel leggen we uit wat de NIS2-richtlijn inhoudt, voor welke sectoren deze van toepassing is, welke maatregelen je moet nemen en hoe Office-IT je hierbij kan ondersteunen.

NIS2 Compliance: Hoe Office-IT je kan ondersteunen

Wil je meer weten over hoe Office-IT je kan helpen met NIS2-compliance? 

Neem vandaag nog contact met ons op voor een vrijblijvend gesprek. Onze experts staan klaar om je te helpen bij het veiligstellen van jouw bedrijfscontinuïteit. 

Wat is NIS2?

De NIS2-richtlijn is de opvolger van de NIS1-richtlijn en actualiseert het Europese rechtskader inzake cyberbeveiliging.

De Europese Commissie wil met deze richtlijn ervoor zorgen dat bedrijven in kritieke sectoren, cyberbeveiliging als een essentieel onderdeel van hun bedrijfsvoering zien om zo belangrijke maatschappelijke of economische activiteiten binnen de Europese Unie beter te beschermen tegen cyberbeveiligingsrisico’s.

Voor welke ondernemingen is de NIS2-wet van toepassing?

Om te beoordelen of de NIS2-wetgeving op jouw onderneming van toepassing is, moet er gekeken worden naar de activiteit en de grootte van jouw onderneming.

Activiteit van de onderneming

Alle diensten die onder de NIS2-wetgeving vallen staan opgesomd in bijlage I en II:

Bijlage I: zeer kritieke sectoren 

  • Energie 
  • Vervoer 
  • Bank 
  • Infrastructuur van financiële markten 
  • Ruimte-industrie 
  • Gezondheidszorg 
  • Drinkwatervoorziening 
  • Afvalwaterzuivering 
  • Digitale infrastructuur 
  • ICT-dienstenbeheer (B2B) 
  • Overheidsadministratie 

Bijlage II: kritieke sectoren 

  • Post- en koerierdiensten 
  • Productie, verwerking en distributie van levensmiddelen
  • Vervaardiging, productie en distributie van chemicaliën 
  • Vervaardiging van  
    • Medische hulpmiddelen 
    • Informaticaproducten en elektronische en optische producten 
    • Elektrische apparatuur 
    • Machines, apparaten en werktuigen die niet eerder werden genoemd 
    • Andere transportmiddelen 
  • Digitale dienst-aanbieders 
  • Afval- en vuilverwerking 
  • Onderzoek  
Grootte van de onderneming

NIS2 is enkel van toepassing op ondernemingen die aangemerkt worden als middelgroot of groot, berekend aan de hand van de bijlage van Aanbeveling 2003/361/EG van de Commissie.

Eenvoudig gesteld hebben middelgrote meer dan 50 werkzame personen of minder dan 50 werkzame personen maar een balanstotaal en omzet die hoger liggen dan 10 miljoen EUR. Een grote onderneming heeft meer dan 250 werkzame personen of minder dan 250 werkzame personen maar een omzet van meer dan 50 miljoen euro en balanstotaal van meer dan 43 miljoen euro.

Bepaalde soorten bedrijven vallen altijd onder de NIS2-wetgeving, ongeacht hun omvang:

  • Gekwalificeerde aanbieders van vertrouwensdiensten (essentieel)
  • Niet-gekwalificeerde verleners van vertrouwensdiensten (belangrijk voor micro-, kleine of middelgrote ondernemingen en essentieel voor grote ondernemingen)
  • DNS-serviceproviders (essentieel)
  • TLD-naamregisters (essentieel)
  • Domeinnaamregistratiediensten (alleen voor de registratieverplichting)
  • Aanbieders van openbare elektronische communicatienetwerken (essentieel)
  • Aanbieders van openbare elektronische communicatiediensten (essentieel)
  • Entiteiten die zijn aangemerkt als exploitanten van kritieke infrastructuur overeenkomstig de wet van 1 juli 2011 inzake de beveiliging en bescherming van kritieke infrastructuur (essentieel)
  • Overheden die van de Federale Staat afhangen (essentieel)

Essentieel en belangrijk

Als we beide criteria, activiteit en grootte, combineren kunnen we bepalen of een organisatie als “belangrijk” of als “essentieel” wordt aangemerkt. Dit onderscheid heeft vooral te maken met hoe streng organisaties gecontroleerd en gesanctioneerd worden (zie verder).

Grote ondernemingen die diensten leveren bij bijlage I worden aangemerkt als “Essentieel”. Alle overige ondernemingen beschouwen we als “Belangrijk”.

Verplichtingen onder NIS2

Registratieplicht

Indien je onderneming onder het toepassingsgebied van de NIS2-reglementering in België valt moet je je onderneming registreren bij het Centrum voor Cybersecurity België (CCB) .

Maatregelen nemen inzake cyberbeveiliging

Om te voldoen aan de NIS2-richtlijn, moeten bedrijven diverse maatregelen implementeren om hun digitale veiligheid te waarborgen. De maatregelen moeten zo goed mogelijk worden afgestemd op de concrete situatie van de betrokken onderneming.

Deze maatregelen omvatten onder andere:

  • Bewustwording: Zorg dat jouw medewerkers continu op de hoogte zijn van de laatste dreigingen en maatregelen rond digitale veiligheid. Dit kan door middel van voorlichtingscampagnes, het simuleren van cyberaanvallen en regelmatige trainingen.
  • Risicoanalyse: Breng de risico’s in kaart die je processen, producten, diensten en gegevens bedreigen. Voer regelmatig monitoring uit om ervoor te zorgen dat deze goed beveiligd zijn.
  • Gegevensbescherming: Voer maatregelen in zoals encryptie, dataminimalisatie en strikt toegangsbeheer om de integriteit en veiligheid van jouw data te waarborgen.
  • Incidentmanagement: Ontwikkel duidelijke procedures voor het rapporteren en aanpakken van incidenten. Wees voorbereid om snel te reageren in geval van een cyberaanval en minimaliseer de impact op jouw bedrijfsvoering.
  • Systeembeveiliging: Implementeer Multi-Factor Authentication (MFA), endpoint security, en andere essentiële beveiligingsmaatregelen om ongeautoriseerde toegang te voorkomen.
  • Bedrijfscontinuïteit: Zorg voor een robuust crisismanagement- en disaster recovery-plan. Dit omvat onder andere back-up beheer en het waarborgen van de continuïteit van jouw diensten in geval van een incident.
Meldingsplicht

Essentiële en belangrijke entiteiten onder de NIS2-wetgeving moeten het CCB in kennis stellen van elk significant incident dat gevolgen geeft voor de verlenging van hun diensten in die kritieke (sub)sectoren.

Verplichtingen en verantwoordelijkheden voor het management

Het bestuursorgaan is aansprakelijk wanneer een onderneming haar NIS2-verplichtingen niet voldoet. Zij moeten de nodige maatregelen goedkeuren en toezicht houden op de uitvoering ervan. Ze zijn verplicht om de nodige opleiding te volgen om cybersecurity risico’s te identificeren en de impact ervan op diensten van de onderneming te beoordelen.

Toezicht en sancties

Essentiële entiteiten worden proactief en reactief gecontroleerd. Belangrijke entiteiten zijn in principe enkel aan een reactieve controle onderworpen, dit wil zeggen na een significant incident of op basis van aanwijzingen dat de entiteit haar verplichten niet nakomt.

Bij niet naleving kan het CCB passende administratieve maatregelen nemen gaande van waarschuwingen tot administratieve boetes. Er zal altijd rekening gehouden worden met de situatie en eventuele herhaalde overtredingen

Hoe kan Office-IT je helpen?

NIS2 brengt complexe verplichtingen met zich mee, maar Office-IT staat klaar om je hierbij te ondersteunen. Wij helpen je om aan alle eisen te voldoen, van analyse tot implementatie van de noodzakelijke maatregelen.

  • Analyse: We beginnen met een grondige analyse van jouw huidige situatie op basis van een NIS2-checklist . Hiermee identificeren we mogelijke risico’s en gevaren binnen jouw organisatie.
  • Advies: Op basis van onze bevindingen doen we gerichte voorstellen om de beveiliging en compliance van jouw IT-infrastructuur te verbeteren. Dit advies is specifiek afgestemd op de behoeften van jouw bedrijf en sector.
  • Implementatie: Dankzij onze uitgebreide expertise en het brede scala aan producten en diensten die we aanbieden, kunnen we je volledig ondersteunen bij de implementatie van de noodzakelijke maatregelen. Of het nu gaat om technische oplossingen zoals bv. MFA, endpoint security en back-up beheer, het monitoren van je volledige IT-infrastructuur, of om organisatorische maatregelen zoals bewustwordingstrainingen met Phished, wij staan klaar om je te helpen.

Waarom nu actie ondernemen?

NIS2 is geen optie, maar een verplichting voor veel bedrijven. Door nu actie te ondernemen zorg je ervoor dat je niet alleen de wetgeving naleeft en eventuele sancties vermijdt maar bescherm je ook jouw bedrijf tegen cyberbedreigingen.

Ook als je onderneming niet binnen het toepassingsgebied van de NIS2-richtlijn valt kan je hier toch mogelijk gevolgen van ervaren. Zo zullen alle leveranciers die samenwerken met bedrijven binnen het toepassingsgebied van de richtlijn, een beveiliging moeten hebben die bijna aan dezelfde voorwaarden voldoet. Op deze manier zal NIS2 in de toekomst de standaard worden inzake cyberbeveiliging in Europese ondernemingen.

Wil je meer weten over hoe Office-IT je kan helpen met NIS2-compliance?

Op zoek naar een IT-partner voor jouw KMO?

Laat ons weten wat er in jouw organisatie beter kan. Kleine of grote KMO? We bekijken graag met jou welke oplossingen het meest geschikt zijn en bieden standaardformules of maatwerk aan. Aan jou de keuze.

“Eerlijk, we hebben geen andere systemen bekeken, want we vertrouwden op het advies van Office-IT. Toen zij met een beveiligingsoplossing op de proppen kwamen, gingen we dan ook snel mee in het verhaal.”

Dreesen Simon – Garden Trade International