Een nieuwe Europese richtlijn over cyberveiligheid verplicht zo'n 2000 Belgische bedrijven om zich te beschermen tegen hackers en andere digitale belagers. Volgens de nieuwe richtlijn - NIS2, in het jargon - moeten alle instellingen en ondernemingen vanaf 50 werknemers of een jaaromzet boven 10 miljoen euro de beveiliging van hun netwerk- en informatiesystemen garanderen als ze actief zijn in sectoren die als kritiek of zeer kritiek voor de nationale economie en veiligheid worden beschouwd. Europa scherpte de regelgeving voor cyberbeveiliging aan omdat het aantal digitale aanvallen op ondernemingen en (overheids-)instellingen jaar na jaar toeneemt.
Voor wie gelden deze verplichtingen?
De verplichtingen gelden niet voor 'kleine ondernemingen': dat zijn ondernemingen waar minder met minder dan 50 personen werken en waarvan de jaaromzet of het jaarlijkse balanstotaal 10 miljoen EUR niet overschrijdt. Zij vallen dus niet onder deze verplichtingen.
Andere ondernemingen vallen alleen onder de wetgeving als ze actief zijn in een 'kritieke sector'. De sectoren van het wegvervoer vallen onder deze kritische sectoren.
Welke verplichtingen?
Ondernemers die onder de wet vallen, moeten een hele reeks verplichtingen naleven, waaronder:
- beleid inzake risicoanalyse en beveiliging van informatiesystemen;
- incidentenbehandeling;
- bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer;
- de beveiliging van uw toeleveringsketen verzekeren, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
- beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen;
- basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
- beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
- beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
- wanneer gepast, het gebruik van multifactor authenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
Registreer jouw NIS2-entiteit zo snel mogelijk
Alle NIS2-entiteiten moeten zich registreren op Safeonweb@Work:
- Entiteiten in de digitale sectoren van de wet moeten zich registreren vóór 18 december 2024.
- Alle andere NIS2-entiteiten moeten zich uiterlijk vóór 18 maart 2025 registreren. Naar het registratieportaal
Meer informatie: CCB - NIS2 snelstartgids
NIS2 uitgelegd in twee slides. Meer info over NIS2 staat hier.
Met dank aan Unizo, 22 juli 2024
