NIS2-richtlijn: hoe zorg je voor de cybersecurity van je kmo?

De NIS2-richtlijn is een Europee wetgeving en legt ondernemingen strengere eisen op rond cybersecurity, risicobeheer en het melden van incidentenNieuw venster . Ook veel kmo's moeten voldoen aan deze NIS2-verplichtingen. Onze experts bij Proximus gidsen je door de belangrijkste bepalingen, van de algemene zorgplicht tot de meldingsplicht.

Waarom een NIS2-richtlijn voor cybersecurity?

Kmo's worden steeds vaker het doelwit van cyberaanvallen. In 2023 kreeg één op de drie Belgische bedrijvenNieuw venster te maken met een incident in cybersecurity. Zulke aanvallen kunnen leiden tot datalekken, reputatieschade en ernstige verstoring van de bedrijfsvoering.

Om deze risico’s te beperken, verplicht de NIS2- regelgeving bedrijven om betere beschermingsmaatregelen te nemen en hun digitale weerbaarheid te versterken. De wetgeving legt strengere eisen op rond beveiliging, risicobeheer en het melden van incidenten. Het doel? De algemene cybersecurity in Europa naar een hoger niveau tillen – en bedrijven beter wapenen tegen de toenemende dreigingen.

NIS2-richtlijn: Voor wie is het van toepassing?

Concreet moet je voldoen aan de NIS2-verplichtingen als je een belangrijke entiteit bent, wat betekent dat je aan de volgende twee criteria voldoet:

• Je hebt 50 medewerkers of meer, of je realiseert een jaarlijkse omzet van 10 miljoen euro of meer.
• Je opereert in een van de 18 kritieke sectoren (energie, transport, banksector, financiële marktinfrastructuren, gezondheidszorg, levering/distributie van drinkwater, afvalwaterbeheer, digitale infrastructuren, beheer van ICT-diensten, openbare administratie, ruimtevaartsector, post- en koeriersdiensten, afvalbeheer, productie/distributie van chemische producten, voedsel en productie).

Hoe voldoe je aan de NIS2-richtlijn?

1. Zorg dat je NIS2-entiteit ingeschreven is op Safeonweb@WorkNieuw venster .
2. Voer een risicoanalyse uit, identificeer je kwetsbaarheden en neem de nodige maatregelen om je IT-infrastructuur te beveiligen. Beheer incidenten, verbeter de IT-hygiëne, implementeer back-ups, zorg voor bedrijfscontinuïteit en meld kwetsbaarheden. Onze Proximus cybersecurity experten kunnen je hiermee helpen.
3. Meld elk significant incident bij het CCB (Centrum voor Cybersecurity België)Nieuw venster . Dit melden moet in verschillende stappen gebeuren:
   1. een waarschuwing binnen 24 uur na kennisname van het incident.
   2. een incidentrapport binnen 72 uur.
   3. een tussentijds rapport op verzoek van het CCB of de betrokken autoriteit.
   4. een eindrapport uiterlijk een maand na de melding van het incident. Als het incident nog aan de gang is, is een tussentijds rapport vereist, gevolgd door een eindrapport binnen een maand na de oplossing van het incident.

Zijn er extra verplichtingen voor essentiële entiteiten?

Entiteiten die als “essentieel” worden beschouwd, moeten voldoen aan extra verplichtingen, waaronder strenge geplande of onverwachte controles. Ze staan onder proactief toezicht. Als ze de regels niet naleven, riskeren ze zware sancties.

Dit zijn structuren die aan de volgende twee criteria voldoen:

• Je hebt 250 medewerkers of meer, of je realiseert een jaarlijkse omzet van 50 miljoen euro of meer, of een totale jaarbalans van meer dan 43 miljoen euro.
• En je opereert in een van de 11 zeer kritieke sectoren (energie, transport, banksector, financiële marktinfrastructuren, gezondheidszorg, levering/distributie van drinkwater, afvalwaterbeheer, digitale infrastructuren, beheer van ICT-diensten, openbare administratie en ruimtevaartsector).

De regelgeving verplicht de entiteiten die onder deze richtlijn vallen om de kwaliteit van de cybersecurity van hun leveranciers en directe dienstverleners te waarborgen. Daarom zullen zelfs bedrijven die niet direct onder de NIS2 vallen, indirect door deze wettelijke verplichtingen worden beïnvloed.

Wat zijn de boetes bij niet-naleving van de NIS2-richtlijn?

Essentiële entiteiten riskeren een boete tot 10 miljoen euro of 2% van hun wereldwijde omzet. Voor belangrijke entiteiten kan de boete oplopen tot 7 miljoen euro of 1,4% van hun wereldwijde omzet. Daarnaast kunnen ook de leidinggevenden verantwoordelijk worden gehouden.

Vind een snelstartgids in 7 stappen aangeboden door de overheid op atwork.safeonweb.beNieuw venster

Hoe kan Proximus je helpen met de NIS2?