Wat is NIS2 en wat betekent dit concreet voor bedrijven
Een diepgaande blik op de nieuwe Europese richtlijn, de scope, de verplichtingen en de impact op Belgische KMO's en grote ondernemingen.
Wat is de NIS2 richtlijn?
De Network and Information Security (NIS2) richtlijn is de opvolger van de eerste NIS-richtlijn uit 2016. Waar de eerste richtlijn zich vooral richtte op essentiële diensten zoals energie en transport, trekt NIS2 het toepassingsgebied aanzienlijk breder. Het doel is simpel maar ambitieus: het algemene niveau van cyberweerbaarheid in de Europese Unie harmoniseren en verhogen.
Voor Belgische bedrijven betekent dit dat cybersecurity niet langer een vrijblijvende 'best effort' is, maar een wettelijke verplichting met duidelijke eisen rond risicobeheer, incidentmelding en bestuurdersaansprakelijkheid.
Wie valt onder NIS2?
NIS2 maakt onderscheid tussen 'essentiële' en 'belangrijke' entiteiten. Het verschil zit voornamelijk in de manier van toezicht en sanctionering, maar de beveiligingsverplichtingen zijn grotendeels identiek.
Onder de scope vallen nu ook sectoren zoals de verwerkende industrie, voedselproductie, afvalbeheer, post- en koeriersdiensten en digitale aanbieders. Als vuistregel geldt: middelgrote en grote bedrijven (meer dan 50 werknemers of >€10m omzet) in deze sectoren vallen automatisch onder de richtlijn.
De 10 beveiligingsmaatregelen
NIS2 schrijft geen specifieke tools voor, maar wel een set van maatregelen die geïmplementeerd moeten zijn. Dit wordt de 'zorgplicht' genoemd. Deze omvatten onder andere:
1. Beleid inzake risicoanalyse en beveiliging van informatiesystemen.
2. Incidentenbehandeling (detectie, rapportage en respons).
3. Bedrijfscontinuïteit, zoals back-upbeheer en noodherstelplannen.
4. Beveiliging van de toeleveringsketen (supply chain security).
5. Beveiliging bij verwerving, ontwikkeling en onderhoud van netwerk- en informatiesystemen.
6. Beleid en procedures voor cryptografie en encryptie.
7. Personeelsbeveiliging, toegangsbeleid en beheer van activa.
8. Gebruik van multi-factor authenticatie (MFA).
Meldplicht en Sancties
Een belangrijk onderdeel van NIS2 is de strikte meldplicht. Significante incidenten moeten binnen 24 uur gemeld worden als 'vroegtijdige waarschuwing', gevolgd door een gedetailleerde melding binnen 72 uur.
De sancties zijn niet mals. Voor essentiële entiteiten kunnen boetes oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet. Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld als blijkt dat zij hun toezichthoudende taak hebben verwaarloosd.
Concrete stappen voor bedrijven
Wacht niet tot de wetgeving volledig in Belgisch recht is omgezet. Begin vandaag met een nulmeting of gap-analyse. Breng in kaart welke kritieke processen afhankelijk zijn van IT, en toets uw huidige beveiligingsniveau aan de 10 verplichte maatregelen.
Zorg daarnaast dat cybersecurity een vast agendapunt wordt in de bestuurskamer. Het is niet langer een IT-probleem, maar een bedrijfsrisico dat strategisch beheerd moet worden.