04 jun De NIS2 Directive zet cybersecurity op scherp
Is jouw bedrijf klaar voor deze nieuwe Europese Richtlijn?
Cybersecuritydreigingen nemen snel toe en vormen een groeiend risico voor bedrijven van elke omvang. De nieuwe NIS2-richtlijn van de EU stelt strengere beveiligingseisen aan bedrijven in verschillende sectoren.
Maar… is jouw bedrijf er klaar voor?
Deze blogpost helpt je om je voor te bereiden op NIS2. Wacht niet af en voorkom zware boetes door proactief te voldoen aan deze richtlijn. Maak van je bedrijf een voorloper in cybersecurity dankzij onderstaande tips!
Wat is NIS2?
De nieuwe NIS2 (Netwerk- en Informatiebeveiligingsrichtlijn) is een Europese richtlijn die de cybersecurity van essentiële diensten en digitale dienstverleners wil verbeteren.
De regelgeving vervangt de NIS-richtlijn van 2016 en breidt het toepassingsgebied uit naar meer sectoren, waaronder energie, transport, gezondheidszorg, water en digitale infrastructuur.
Elk land in de Europese Unie moet deze richtlijn vertalen naar nationale wetgeving, en België heeft al belangrijke stappen gezet om ze te implementeren.
De NIS 2-richtlijn is dus al van kracht in de EU, maar de lidstaten hebben tot 27 november 2024 de tijd om de regelgeving om te zetten in nationale wetgeving.
Is NIS2 van toepassing op jouw bedrijf? Dan heb je daarna 6 maanden de tijd om te voldoen aan de nieuwe eisen. Concreet moet je een aantal beveiligingsmaatregelen nemen op vlak van:
- risicobeoordeling en -beheer
- incidentenbeheer
- toegangsbeheer
- patchbeheer
- bewustwordingstraining voor personeel
Voldoet je bedrijf niet aan de NIS2-eisen? Dan kun je boetes tot 2% van je wereldwijde jaaromzet opgelegd krijgen. Beter voorkomen dan genezen!
Wie moet voldoen aan NIS2?
De NIS2-richtlijn is vooral relevant voor middelgrote ondernemingen met minstens 50 voltijdse medewerkers (FTE’s) en/of een jaaromzet (of balanstotaal) van 10 miljoen euro in specifieke sectoren zoals:
- Banken
- Medische instellingen
- Energiebedrijven
- Waterbedrijven
- Digitale infrastructuur
- Overheidsinstellingen
- Ruimtevaartsector
Opgelet: Ook al hoeft je bedrijf momenteel niet aan de NIS2 te voldoen, het is belangrijk om te begrijpen dat klanten of leveranciers dit als vereiste kunnen stellen voor samenwerking.
Het niet naleven van deze richtlijn kan met andere woorden betekenen dat je bepaalde contracten of klanten verliest.
Het is dus slim om nu al stappen te ondernemen om de NIS2-eisen op de voet te volgen en/of zelf aan de eisen te voldoen.
De NIS2-wetgeving in België
Op 17 mei 2024 werd de NIS2-wetgeving gepubliceerd in het Belgisch Staatsblad: een belangrijke stap voor België in het versterken van de nationale cybersecurity.
Voor gedetailleerde informatie kun je volgende bronnen raadplegen:
- Publicatie van de NIS2 wet
- De NIS2-richtlijn: Voor wie en waarom
- Nieuwe Europese Cybersecurity NIS2-richtlijn
- Cyberfundamentals Framework
De Cyberfundamentals
De laatste bron in het lijstje – het Cyberfundamentals Framework – biedt een solide framework voor elke onderneming die een goede basis wil leggen voor cyberbeveiliging en zich wil voorbereiden op de NIS2.
Deze fundamentele maatregelen zijn onderverdeeld in verschillende niveaus, afhankelijk van de complexiteit en de grootte van je onderneming:
1. Fundamentals Small
Het ‘Fundamentals Small’ niveau is bedoeld voor kleine bedrijven en start-ups. De maatregelen op dit niveau zijn basisstappen die essentieel zijn om een minimale bescherming tegen cyberdreigingen te waarborgen.
- Basisbeveiliging: Implementeren van antivirussoftware en firewalls.
- Regelmatige updates: Zorgen voor automatische updates van alle software.
- Back-up procedures: Invoeren van regelmatige back-upstrategieën om gegevensverlies te voorkomen.
- Toegang tot gegevens: Beperken van toegang tot gevoelige informatie op basis van functieniveaus.
2. Fundamentals Basic
Het ‘Fundamentals Basic’ niveau is geschikt voor middelgrote bedrijven die complexer zijn dan kleine ondernemingen, maar nog steeds eenvoudige cybersecuritymaatregelen nodig hebben.
- Risicobeoordeling: Uitvoeren van periodieke risicobeoordelingen om potentiële bedreigingen te identificeren.
- Incidentenbeheer: Opzetten van een basisplan voor incidentrespons en -herstel.
- Toegangsbeheer: Implementeren van “meerlaagse” authenticatie om de toegang tot systemen en gegevens te beveiligen.
- Beveiligingsbeleid: Ontwikkelen van een eenvoudig, maar effectief cybersecuritybeleid voor alle medewerkers.
3. Fundamentals Important
Het ‘Fundamentals Important’ niveau is bedoeld voor grotere bedrijven met complexere IT-infrastructuren en hogere risico’s.
- Geavanceerde beveiliging: Invoeren van geavanceerde beveiligingstechnieken zoals encryptie en intrusion detection systems (IDS).
- Incidentenbeheer: Ontwikkelen van een uitgebreid incidentresponsplan inclusief rollen en verantwoordelijkheden.
- Bewustwordingstrainingen: Regelmatige en uitgebreide trainingen voor medewerkers over cybersecuritydreigingen en best practices.
- Patchbeheer: Strikte procedures voor het tijdig toepassen van patches en updates om kwetsbaarheden te verminderen.
4. Fundamentals Essential
Het ‘Fundamentals Essential’ niveau is gericht op kritieke infrastructuren en bedrijven met zeer hoge beveiligingseisen.
- Integrale beveiliging: Integreren van cybersecurity in alle bedrijfsprocessen en IT-systemen.
- Continuïteitsplanning: Opstellen van gedetailleerde bedrijfscontinuïteits- en rampenherstelplannen.
- Regelmatige audits: Voeren van regelmatige en onafhankelijke beveiligingsaudits en penetratietests.
- Samenwerking en informatie-uitwisseling: Actief deelnemen aan sector-overschrijdende samenwerkingen en het delen van informatie over dreigingen en best practices.
Cybersecurity bij Consultrix
Bij Consultrix doen we al heel veel om de cybersecurity van onze klanten te waarborgen. Maar uiteraard zijn er altijd extra maatregelen mogelijk.
Wij raden je aan om niet te wachten tot de NIS2 een dringende prio wordt, maar nu al de nodige stappen te zetten.
Heb je vragen over hoe je je bedrijf kunt voorbereiden op de NIS2-richtlijn?