Daar is de nieuwe NIS-richtlijn
Sinds 16 januari 2023 is de zogenaamde “NIS-2” Richtlijn van toepassing.
Deze richtlijn vervangt de NIS-1 richtlijn uit 2016 (omgezet in België in de NIS-1 wet van 2019), wat vaak de allereerste cybersecurity wetgeving in de wereld wordt genoemd.
Het voorstel van de nieuwe NIS-richtlijn werd door de Europese Commissie op tafel gelegd in december 2020. Na een snel onderhandelingsproces werd de finale tekst twee jaar later door de Raad en het Europees Parlement goedgekeurd, en gepubliceerd op 27 december 2022. Ze ging van kracht 20 dagen later. Ons land heeft nu 21 maanden, tot 17 oktober 2024, de tijd om de NIS-2 richtlijn om te zetten in nationale wetgeving.
Waarom NIS-1 een update behoefde en wat de discussiepunten waren, bespraken we eerder hier.
In essentie beoogt deze NIS-2 richtlijn dezelfde drie doelen als haar voorganger, maar ditmaal veel meer en uitgebreider dan in 2016:
- Nationale overheden moeten meer capaciteit aan cybersecurity spenderen;
- Er moet meer Europese samenwerking zijn tussen cybersecurity autoriteiten;
- Een veel groter aantal belangrijke operatoren, in meer kritieke sectoren van onze samenleving moeten (nog meer) veiligheidsmaatregelen nemen en significante incidenten melden.
De grootste uitbreiding is er voor deze derde doelstelling. Bij de 6 sectoren van NIS-1 komen er nu 12 sectoren bij (waaronder ook overheidsdiensten, de voedsel-, chemie- en vervaardigingindustrie en ook binnen de energie- en gezondheidssector zijn meer types organisaties beoogd). Naast een actieve selectie door overheden moeten (minstens) alle grote en middelgrote organisaties aan de verplichtingen voldoen. Hiermee bedoelt men alle organisaties met meer dan 50 werknemers of met 10 miljoen euro jaarlijkse omzet die actief zijn in deze sectoren. In België kunnen we zo van een 100-tal naar een 2500-tal NIS-entiteiten gaan.
Daarnaast moeten significante incidenten nu in 3 trappen gemeld worden:
- een vroege waarschuwing binnen de 24 uur (als er verspreiding mogelijk is);
- een volledige notificatie binnen de 72 uur (zoals bij de GDPR);
- een finaal rapport binnen de maand.
De richtlijn geeft eveneens een lijst met algemene risico-beheersingsmaatregelen voor organisaties, die elke lidstaat concreet zal uitwerken.
De grote ondernemingen in de meest kritieke sectoren (‘essentiële entiteiten’) zullen strikter gecontroleerd worden. Er komen eveneens hogere en meer specifieke sanctieregels (wat in extreme gevallen kan oplopen tot 10 miljoen euro boetes). En er komt een sterke responsabilisering van het topmanagement van elke entiteit, zodat cybersecurity een echte boardroom issue wordt.
NIS-2 bevat heel wat (nieuwe) elementen en nuances. Voor meer gedetailleerdere uitleg van de verschillende aspecten en verplichtingen die op ons afkomen: zie NIS2 pagina op onze website. De volledige tekst van de Richtlijn vindt u online.
Het CCB heeft intussen het overleg voor de transpositie van deze richtlijn opgestart, om voor oktober 2024 met een nieuwe Belgische NIS-wet te komen. Verplichtingen voor organisaties zullen eind 2024 ingaan, maar uiteraard begint men beter zo snel mogelijk de eigen cybersecurity te verhogen. Het CCB publiceert in de komende weken een framework met concrete en praktische veiligheidsdoelstellingen voor organisaties, en later dit jaar komt er ook een platform om het CCB aanbod van adviezen en dreigingsinformatie te stroomlijnen. Zo kunnen we samen van België een van de minst cyberkwetsbare landen van Europa maken.