NIS2: Europa breidt de toepassing van de regelgeving uit

Gepubliceerd op 28/09/2021 in Nieuws

NIS2: Europa breidt de toepassing van de regelgeving uit

Hoewel de NIS-richtlijn (Network & Information Security) al een erg hoog beveiligingsniveau voorziet, is er nu NIS2. De nieuwe richtlijn zal de IT-infrastructuur van conforme ondernemingen een grotere veerkracht geven.

Al drie jaar...

De NIS-wet, het resultaat van de gelijknamige Europese richtlijn, is de eerste wet op het gebied van cyberbeveiliging in België. Drie jaar nadat de wet van kracht ging, is het Centrum voor Cybersecurity België globaal gesproken tevreden over de naleving van de regels door ondernemingen. “Toch is het nog te vroeg om de implementatie van de regels ten gronde te evalueren. De eerste interne audits werden nog maar pas uitgevoerd en de eerste externe audits zijn gepland voor 2023,” legt Valéry Vander Geeten uit, juridisch verantwoordelijke van het Centrum voor Cybersecurity België.

Als u aan de wettelijke voorwaarden beantwoordt, dient u de NIS-richtlijn te respecteren.

Valéry Vander Geeten uit, juridisch verantwoordelijke van het CCB

author

NIS 2: meer betrokken sectoren

Tot nog toe hadden de regels betrekking op de sectoren transport, energie, financiën, gezondheidszorg, drinkwatervoorziening, digitale infrastructuren en leveranciers van digitale services. NIS2, de nieuw voorgestelde richtlijn, zal het type van operatoren in bepaalde bestaande sectoren uitbreiden en nieuwe sectoren toevoegen: telecomoperatoren, overheden, leveranciers van elektronische uitrusting, voeding en chemie maken er deel van uit. “Ook belangrijk om te vermelden is dat de voorafgaande identificatie door de bevoegde sectorautoriteit niet meer vereist is. Als u aan de wettelijke voorwaarden beantwoordt, dient u de richtlijn te respecteren,” onderstreept Valéry.

Wat houdt NIS2 net in? En welke sectoren vallen onder de nieuwe regelgeving? De praktische details werden in een handig overzicht samengevat.

NIS2-richtlijn Nieuw venster

Ethische hackers toelaten

Om managers bewust te maken van hun verantwoordelijkheid, voorziet de nieuwe richtlijn dat sancties niet alleen aan de organisatie kunnen worden opgelegd maar ook aan de directieleden persoonlijk. Valéry vestigt tevens de aandacht op een belangrijke nieuwe aanbeveling: “Ondernemingen doen er goed aan een beleid van gecoördineerde onthulling te implementeren voor kwetsbaarheden. Op die manier kunnen er op voorhand regels worden vastgelegd die externe personen (ethische hackers) in staat stellen om eventuele kwetsbaarheden in informatiesystemen op te sporen. Concreet zullen organisaties deze regels publiceren op hun website of een ‘bug bounty’-platform.

Wat is ethische hacking en hoe werkt het? Twee ethische hackers van de Proximus Accelerator Davinsi Labs beantwoorden zeven vragen.

Zeven vragen aan ethische hackers

Cybersecurity is geen kwestie van IT, maar is in de eerste plaats een bedrijfscultuur.

Valéry Vander Geeten uit, juridisch verantwoordelijke van het CCB

Cybersecurity op alle niveaus

Een strengere wetgeving komt elke organisatie ten goede, ongeacht de omvang. De energiesector is uiteraard cruciaal voor alle andere sectoren en de beveiliging van haar industriële systemen is een belangrijke uitdaging. Hetzelfde geldt voor de openbare sector, getuige daarvan de recente incidenten. “In het NIS2-voorstel zijn micro-ondernemingen en kleine onderneming uitgesloten, met tal van uitzonderingen voor entiteiten die een risico vormen voor de openbare veiligheid en volksgezondheid. Toch ben ik van mening dat iedereen betrokken partij is. Cybersecurity is geen kwestie van IT, maar is in de eerste plaats een bedrijfscultuur.”

Een noodzakelijke evolutie

Niemand kan de noodzaak van de voorgestelde wijzigingen op Europees niveau ontkennen. De risico’s met betrekking tot cybercriminaliteit nemen exponentieel toe en een wetgeving met een te beperkt bereik is niet redelijk in onze alsmaar meer digitale en meer geconnecteerde wereld. “Tussen de diverse sectoren zit een niet te onderschatten verschil qua middelen, maturiteit en veerkracht. Dat argument volstaat ruimschoots om een grotere sectoroverschrijdende harmonisering in de implementatie van de NIS-beveiligingsvoorschriften te rechtvaardigen,” besluit Valéry.

Voldoen aan de regelgeving.

Ontdek Security Services

Hebt u vragen bij de cybersecurity van uw organisatie? Praat met één van onze experts.

Contacteer onze expert Nieuw venster

Het Centrum voor Cybersecurity België is een federaal organisme dat onder de bevoegdheid van de Eerste Minister valt en belast is met de coördinatie van het Belgische beleid inzake cyberbeveiliging.
Valéry Vander Geeten is juridisch verantwoordelijke van het Centrum voor Cybersecurity België en afgevaardigde voor gegevensbescherming. Ook is hij belast met de coördinatie van de omzetting van de NIS-richtlijn in België.

One

One is het ICT-vakblad van Proximus voor CIO’s en ICT-professionals van grote en middelgrote ondernemingen. 

Andere artikels van One