NIS2: Europa breidt de toepassing van de regelgeving uit

Al drie jaar...

De NIS-wet, het resultaat van de gelijknamige Europese richtlijn, is de eerste wet op het gebied van cyberbeveiliging in België. Drie jaar nadat de wet van kracht ging, is het Centrum voor Cybersecurity België globaal gesproken tevreden over de naleving van de regels door ondernemingen. “Toch is het nog te vroeg om de implementatie van de regels ten gronde te evalueren. De eerste interne audits werden nog maar pas uitgevoerd en de eerste externe audits zijn gepland voor 2023,” legt Valéry Vander Geeten uit, juridisch verantwoordelijke van het Centrum voor Cybersecurity België.

Als u aan de wettelijke voorwaarden beantwoordt, dient u de NIS-richtlijn te respecteren.

Valéry Vander Geeten uit, juridisch verantwoordelijke van het CCB

NIS 2: meer betrokken sectoren

Tot nog toe hadden de regels betrekking op de sectoren transport, energie, financiën, gezondheidszorg, drinkwatervoorziening, digitale infrastructuren en leveranciers van digitale services. NIS2, de nieuw voorgestelde richtlijn, zal het type van operatoren in bepaalde bestaande sectoren uitbreiden en nieuwe sectoren toevoegen: telecomoperatoren, overheden, leveranciers van elektronische uitrusting, voeding en chemie maken er deel van uit. “Ook belangrijk om te vermelden is dat de voorafgaande identificatie door de bevoegde sectorautoriteit niet meer vereist is. Als u aan de wettelijke voorwaarden beantwoordt, dient u de richtlijn te respecteren,” onderstreept Valéry.

Ethische hackers toelaten

Om managers bewust te maken van hun verantwoordelijkheid, voorziet de nieuwe richtlijn dat sancties niet alleen aan de organisatie kunnen worden opgelegd maar ook aan de directieleden persoonlijk. Valéry vestigt tevens de aandacht op een belangrijke nieuwe aanbeveling: “Ondernemingen doen er goed aan een beleid van gecoördineerde onthulling te implementeren voor kwetsbaarheden. Op die manier kunnen er op voorhand regels worden vastgelegd die externe personen (ethische hackers) in staat stellen om eventuele kwetsbaarheden in informatiesystemen op te sporen. Concreet zullen organisaties deze regels publiceren op hun website of een ‘bug bounty’-platform.

Valéry Vander Geeten uit, juridisch verantwoordelijke van het CCB

Cybersecurity op alle niveaus

Een strengere wetgeving komt elke organisatie ten goede, ongeacht de omvang. De energiesector is uiteraard cruciaal voor alle andere sectoren en de beveiliging van haar industriële systemen is een belangrijke uitdaging. Hetzelfde geldt voor de openbare sector, getuige daarvan de recente incidenten. “In het NIS2-voorstel zijn micro-ondernemingen en kleine onderneming uitgesloten, met tal van uitzonderingen voor entiteiten die een risico vormen voor de openbare veiligheid en volksgezondheid. Toch ben ik van mening dat iedereen betrokken partij is. Cybersecurity is geen kwestie van IT, maar is in de eerste plaats een bedrijfscultuur.”

Een noodzakelijke evolutie

Niemand kan de noodzaak van de voorgestelde wijzigingen op Europees niveau ontkennen. De risico’s met betrekking tot cybercriminaliteit nemen exponentieel toe en een wetgeving met een te beperkt bereik is niet redelijk in onze alsmaar meer digitale en meer geconnecteerde wereld. “Tussen de diverse sectoren zit een niet te onderschatten verschil qua middelen, maturiteit en veerkracht. Dat argument volstaat ruimschoots om een grotere sectoroverschrijdende harmonisering in de implementatie van de NIS-beveiligingsvoorschriften te rechtvaardigen,” besluit Valéry.