Met de NIS2-wet van 26 april 2024 heeft de Belgische wetgever de Europese NIS2-richtlijn omgezet in nationaal recht. De NIS2-wet is een actualisering van de NIS1-wet van 7 april 2019, waarbij het toepassingsgebied werd verruimd.

De NIS-reglementering heeft tot doel de maatregelen op het vlak van cyberbeveiliging, incidentbeheer en toezicht op organisaties die cruciale diensten leveren voor het behoud van essentiële maatschappelijke en economische functies, te versterken. Daarnaast beoogt de wet een betere afstemming van het overheidsbeleid inzake cyberbeveiliging te realiseren.

De NIS2-wet treedt in werking op 18 oktober 2024.

Toepassingsgebied

De NIS2-wet is van toepassing op ‘entiteiten’ (dus niet beperkt tot enkel rechtspersonen) die:

• in de Europese Unie een dienst leveren zoals opgesomd in bijlage I en II van de NIS2-wet; en

• die de drempelwaarden voor middelgrote ondernemingen overschrijden, zijnde:

- ten minste 50 VTE tewerkstellen; en

- een jaaromzet of balanstotaal van meer dan € 10 miljoen euro; en

• in België gevestigd zijn.

Het ‘Centre for Cybersecurity Belgium’ (‘CCB’) heeft een handige tool ontwikkeld om te bepalen of jouw organisatie binnen het toepassingsgebied van de NIS2-wet valt. Deze ‘scope test tool’ kan je hier downloaden: https://atwork.safeonweb.be/nl/tools-resources/nis2-snelstartgids .

Let op: zelfs als jouw organisatie niet onder het toepassingsgebied van de NIS2-wet valt, kan je toch geconfronteerd worden met de verplichtingen onder de NIS2-wet als je organisatie zich in een toeleveringsketen van een NIS2-entiteit bevindt. NIS2-entiteiten zijn namelijk verplicht om de veiligheid van hun toeleveringsketen te waarborgen, inclusief de beveiligingsaspecten die betrekking hebben op de relaties tussen de entiteit en haar directe leveranciers of dienstverleners. In dit geval adviseert het CCB om ten minste te voldoen aan de maatregelen die zijn uiteengezet in het CyberFundamentals (CyFun®) Framework Leval Basic (https://atwork.safeonweb.be/nl/tools-resources/cyberfundamentals-framework ).

Verder maakt men onder de NIS2-wet een onderscheid tussen essentiële en belangrijke entiteiten, het CCB heeft hiervan een helder visueel overzicht beschikbaar gesteld op haar website:

Overzicht bijlage I: zeer kritieke sectoren

https://atwork.safeonweb.be/sites/default/files/2024-08/Infographic%207%20-%20NIS%202%20Scope_N-1.png

Overzicht bijlage II: andere kritieke sectoren

https://atwork.safeonweb.be/sites/default/files/2024-08/Infographic%207%20-%20NIS%202%20Scope_N-2.png

Verplichtingen NIS2-wet

Entiteiten die onder het toepassingsgebied van de NIS2-wet vallen, moeten aan een aantal verplichtingen voldoen:

Registratie op Safeonweb@Work

In principe dienen alle NIS2-entiteiten zich uiterlijk vóór 18 maart 2025 te registeren, met uitzondering van de entiteiten in de digitale sector waarvoor de deadline op 18 december 2024 werd bepaald.

Registratie kan gebeuren via het online registratieformulier: https://atwork.safeonweb.be/nl/register-my-organisation .

Maatregelen voor het beheer van cyberbeveiligingsrisico’s

Alle NIS2-entiteiten dienen passende en evenredige technische, operationele en organisatorische maatregelen te treffen om de risico's voor de beveiliging van de netwerk- en informatiesystemen die zij gebruiken in hun activiteiten of dienstverlening te beheren. Dit moet gebeuren om incidenten te voorkomen of om de impact van incidenten op hun klanten en andere diensten te beperken.

Daarnaast moeten deze maatregelen zorgen voor een beveiligingsniveau dat in verhouding staat tot het risico, waarbij rekening wordt gehouden met de stand van de techniek, de uitvoeringskosten, de kans dat een incident zich voordoet en de risico’s ervan. Bij het beoordelen van de evenredigheid van de maatregelen moet rekening worden gehouden met het risiconiveau van de entiteit, de grootte van de organisatie en de waarschijnlijkheid en ernst van eventuele incidenten, inclusief hun maatschappelijke en economische gevolgen.

De maatregelen dienen dus optimaal te worden afgestemd op de specifieke situatie van de betrokken entiteit. De NIS2-wet voorziet eveneens in een aantal minimummaatregelen die moeten geïmplementeerd worden.

Het CCB heeft verschillende tools beschikbaar gesteld om NIS2-entiteiten te ondersteunen in het identificeren van de risico’s en het nemen van passende maatregelen: https://atwork.safeonweb.be/nl/tools-resources/cyberfundamentals-framework .

Melding van significante incidenten

Het CCB moet in kennis worden gesteld van elk significant incident, en dit binnen de 24u na kennisname van het incident. Het CCB zal hiervoor binnenkort een online meldingsportaal opzetten.

Verplichtingen en verantwoordelijkheden van het management

Het bestuursorgaan van de entiteit is verantwoordelijk voor het nemen van de gepaste maatregelen en het toezicht op de uitvoering ervan. Om erop toe te zien dat het bestuursorgaan over voldoende kennis en vaardigheden beschikt om daadwerkelijk aan de verplichtingen onder de NIS2-wet te voldoen, is er een verplichting ingevoerd om in opleidingen te voorzien voor de leden van het bestuursorgaan.

Samenwerking met de autoriteiten

NIS2-entiteiten zijn verplicht om samen te werken met de autoriteiten. Dit betreft voornamelijk informatie-uitwisseling met het CCB en sectorale autoriteiten.

Sancties

De NIS2-wet voorziet in de mogelijkheid voor het CCB om administratieve maatregelen op te leggen, en tevens in administratieve boetes:

1. Niet voldoen aan de rapportageverplichtingen onder artikel 12 van de NIS2-wet wordt bestraft met een boete van 500 tot 125.000 euro;

2. Een enititeit die een persoon, die in hun naam handelt en te goeder trouw zijn verplichtingen in het kader van zijn functie en de NIS2-wet uitovert, schade berokkent, kan een boete krijgen van 500 tot 200.000 euro;

3. Niet voldoen aan de toezichtverplichting wordt bestraft met een boete van 500 tot 200.000 euro;

4. Een belangrijke entiteit die zich niet houdt aan de regels voor cyberbeveiliging of rapportage, kan een boete krijgen van 500 tot 7.000.000 euro, of 1,4% van hun wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is;

5. Een essentiële entiteit die zich niet houdt aan de regels voor cyberbeveiliging of rapportage, kan een boete krijgen van 500 tot 10.000.000 euro, of 2% van hun wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.

Wat moet u ondernemen?

We raden u ten zeerste aan de snelstartgids van het CCB te raadplegen om te bepalen of u onder het toepassingsgebied van de NIS2-wet valt. U kan deze gids hier raadplegen: https://atwork.safeonweb.be/nl/tools-resources/nis2-snelstartgids .