Cyberaanvallen op bedrijven en overheden worden steeds geavanceerder en talrijker. De Europese Unie vond het dan ook hoog tijd om de NIS1-richtlijn een update te geven in de vorm van de NIS2-richtlijn. Op 18 april 2024 werd de Belgische wet tot omzetting van deze NIS2-richtlijn in de Kamer aangenomen, waarbij is voorzien dat deze wet op 18 oktober 2024 in werking zal treden (de “NIS2-wet”). Wat betekent dit concreet voor uw onderneming?
Wat is de NIS2-richtlijn en wat wil deze bereiken?
In 2016 is de NIS1-richtlijn ( de “Network and Information Systems Directive”) in het leven geroepen door het Europees Parlement. De richtlijn werd naar Belgisch recht omgezet in de wet van 7 april 2019. Deze richtlijn was erop gericht ondernemingen te identificeren die werkzaam zijn in “essentiële sectoren”. Bij deze sectoren is permanente dienstverlening essentieel voor de samenleving. Indien deze ondernemingen zouden stilvallen door een cyberaanval, zou dit kunnen leiden tot een aanzienlijke verstoring van de werking van bedrijven en overheidsdiensten die cruciaal zijn voor de veiligheid van de bevolking. Voorbeelden van dergelijke sectoren zijn de energiesector, drinkwater en volksgezondheid. Deze aanbieders van essentiële diensten werden verplicht passende technische, operationele en organisatorische maatregelen te nemen ter beveiliging van hun netwerk- en informatiesystemen.
Enkele jaren later bleek dat het toepassingsgebied van de NIS1-richtlijn niet alle sectoren betrof die slachtoffer zijn van (steeds vaker voorkomende) cyberaanvallen. De voornaamste drijfveer achter de invoering van de NIS2-richtlijn is de uitbreiding van het toepassingsgebied, waarbij entiteiten als essentieel of belangrijk worden aangemerkt. Deze verbreding van het toepassingsgebied maakt dat meer dan 2000 Belgische ondernemingen nu onder het toepassingsgebied vallen en dus moeten voldoen aan de strengere eisen omtrent cybersecurity.
Wie valt onder het toepassingsgebied van deze richtlijn?
Om onder de Belgische NIS2-wet te vallen, moet een organisatie in principe:
- een dienst leveren in de Europese Unie dewelke is opgenomen in bijlage I hetwelk de essentiële sectoren betreft (o.a. energie, vervoer, bank, gezondheid; ICT-dienstenbeheer) of bijlage II hetwelk de belangrijke sectoren betreft (o.a. afvalbeheer, chemicaliën, vervaardigen van elektrische apparatuur, machines, werktuigen, auto’s) van de NIS2-wet;
en - de groottedrempels overschrijden die zijn vastgesteld in Aanbeveling 2003/361/EG van de Europese Commissie, d.w.z. ten minste 50 voltijdse werknemers (VTE's) of een jaaromzet en/of jaarlijks balanstotaal van meer dan €10 miljoen hebben;
en
- in België gevestigd zijn.
Let wel, Aanbeveling 2003/361/EG van de Commissie stelt dat de berekening van de omvang van een organisatie die deel uitmaakt van een groep (zogenaamde "partnerondernemingen" of "verbonden ondernemingen") een consolidatie van de gegevens van de verschillende onderdelen van deze groep impliceert.
Daar komt bij dat de NIS2-wet automatisch van toepassing is op alle entiteiten die worden aangemerkt als exploitanten van o.a. kritieke infrastructuur of domeinnaamregistratiediensten, ongeacht hun omvang. Alsook vallen entiteiten die op grond van de NIS1-wet zijn aangemerkt als aanbieders van essentiële diensten of digitale-dienstverleners in principe onder de NIS2-wet als ze de omvangdrempels overschrijden.
Waaraan moet u zich houden?
De NIS2-richtlijn legt verschillende verplichtingen op aan ondernemingen die onder haar toepassingsgebied vallen. Deze verplichtingen zijn onder te verdelen in twee belangrijke categorieën: enerzijds de waakzaamheidsplicht en anderzijds de meldplicht.
De waakzaamheidsplicht houdt verschillende verplichtingen in. Ten eerste moeten ondernemingen zich in principe binnen vijf maanden na de inwerkingtreding van de NIS2-wet (d.i. dus uiterlijk 18 maart 2025) registeren bij de nationale cyberbeveiligingsautoriteit.
Ten tweede dient er een risicoanalyse uitgevoerd te worden, hetgeen allicht voor de meeste ondernemingen de meest essentiële oefening zal uitmaken aangezien er op deze basis verdere maatregelen zullen moeten genomen worden. Deze maatregelen dienen ten derde passende en evenredige technische, operationele en organisatorische maatregelen te zijn, dewelke risico’s voorkomen, dan wel beperken. Ten slotte moeten leden van het bestuursorgaan verplicht opleidingen op het gebied van Cyber Security volgen.
Daarnaast is er ook een meldplicht. Ondernemingen moeten incidenten binnen 24 uur melden aan het Centrum voor Cybersecurity België (CCB). De controleorganen kunnen er ook steeds voor opteren om inspecties uit te voeren wat betreft de conformiteit van de onderneming met de NIS2-wet.
Tegen april 2026 en april 2027 zijn er ook nog verplichtingen na te leven voor ondernemingen die ten gevolge van o.a. de overschrijding van de groottedrempels gekwalificeerd zijn als essentiële entiteit, met name controle van zelfbeoordeling en certificatieverplichtingen.
Sancties
De verplichtingen opgenomen in de NIS2-wet zijn geen vrijbrief. Schendingen kunnen leiden tot zware boetes tot wel 10 miljoen euro of 2% van de wereldwijde jaaromzet. Minder zware sancties kunnen bestaan uit officiële waarschuwingen of strikte instructies om tekortkomingen te verhelpen.
Daarnaast kunnen certificeringen (zoals de internationale standaarden ISO 27001, ISO 27035 of ISO 22301) tijdelijk opgeschort worden en de uitoefening van leidinggevende functies zelfs tijdelijk verboden worden.
Houd er ook rekening mee dat het bestuursorgaan aansprakelijk kan worden gesteld voor het niet naleven van de wettelijke verplichtingen.
Contacteer ons
Bent u benieuwd of uw onderneming onder het toepassingsgebied van de NIS2-wet valt en welke impact deze heeft op uw verdere bedrijfsvoering inzake te nemen cybersecurity maatregelen? Neem dan contact op met ons team.
Auteurs: Mr. Frederik Van Overtveldt, Mr. Ellen Cortois & Mr. Lara Coopmans
Klik hieronder op de foto's van de auteurs om hun andere artikels te lezen: