Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

NIS2-deadline voor verhoogde cyberbeveiliging nadert: ben jij er klaar voor?

05.02.2025 Leesduur: 7 minuten

De wereld digitaliseert in een sneltreinvaart en cyberaanvallen zijn aan de orde van de dag. Wist je dat een succesvolle cyberaanval een bedrijf gemiddeld 200.000 euro kost? Dat is niet niks! Nog verontrustender is het gegeven dat 60% van de kleine en middelgrote bedrijven (KMO’s) binnen het half jaar failliet gaat na een zware cyberaanval. Cyberveiligheid is dus niet langer een luxe, maar een bittere noodzaak, en de Europese Unie heeft dat goed begrepen. 

Sinds 17 januari 2025 is de DORA-verordening, die specifiek gericht is op de digitale operationele veerkracht van de financiële sector, al in werking getreden.  De bredere NIS2-verordening is al even in werking en tussen 18 december 2024 (voor sommige dienstverleners) en 18 maart 2025 (voor sommige anderen) gaat de registratieplicht als NIS2-plichtig bedrijf voor heel wat ondernemingen in werking.

Het bewustzijn en de kennis rond deze cybersecuritywetgeving blijkt echter steeds opnieuw érg beperkt bij bedrijven en het leek ons dus hoogtijd om in de aanloop naar 18 maart nog eens alles op een rijtje te zetten.

Wat is NIS2 nu ook weer?

De NIS1-richtlijn, officieel bekend als Richtlijn 2016/1148, was de eerste EU-wetgeving die zich specifiek richtte op cybersecurity. Ze werd aangenomen in 2016 en was gericht op het verbeteren van de cybersecurity binnen de EU. Onder NIS1 waren lidstaten onder meer verplicht om nationale strategieën voor cybersecurity op te stellen. De richtlijn stelde ook beveiligingseisen vast en verplichtte belangrijke dienstverleners en digitale dienstverleners om ernstige cyberincidenten te melden.

Die NIS1-richtlijn legde destijds eigenlijk de basis voor een gecoördineerde aanpak van cybersecurity in de EU.  De tijden veranderen echter en ook cybercriminelen staan niet stil.  het is dus inmiddels tijd voor een stevige update en aanvulling van die NIS1-richtlijn en die aanpassingen, komen in de vorm van de NIS2-richtlijn waarover we het verder in deze tekst zullen hebben.

Sinds 16 januari 2023 vervangt de NIS2-richtlijn zoals gezegd de voorgaande NIS1-richtlijn uit 2016. NIS2 streeft ernaar om de cyberbeveiliging binnen de EU te versterken door met drie hoofddoelen:

  • het verplichten van nationale overheden om aandacht aan cybersecurity te besteden
  • het versterken van Europese samenwerking tussen cybersecurity autoriteiten
  • het verplichten van belangrijke operatoren in essentiële sectoren om veiligheidsmaatregelen te nemen en incidenten te melden

Naderende deadlines NIS2

We zeiden het in de intro al, de deadlines die NIS2 oplegt aan bedrijven komen nu erg snel dichterbij.  

Ten eerste is er de registratiedeadline op 18 maart 2025.  Deze deadline is van cruciaal belang voor alle bedrijven die onder NIS2 vallen.  Concreet betekent dit dat zij zich vóór deze datum moeten registreren bij het Centrum voor Cybersecurity België (CCB).  Deze registratieplicht geldt voor alle operatoren van essentiële diensten en aanbieders van digitale diensten die onder de NIS2-richtlijn vallen.  Het CCB zal op basis van deze registratie een inventaris opmaken van alle entiteiten die onderworpen zijn aan de NIS2-verplichtingen.  

Voor sommige sectoren, zoals online marketplaces, cloud computing services, sociale netwerkproviders en bvb ook domeinnaamregistranten is die registratiedeadline overigens al sinds 18 december 2024 verstreken …

Maar daar stopt het niet! Naast de registratieplicht is er ook nog een tweede belangrijke deadline, namelijk 18 april 2025.  Deze datum is de uiterste deadline voor het aantonen van compliance met de NIS2-richtlijn.  Dit betekent dat alle geregistreerde entiteiten tegen deze datum moeten kunnen aantonen dat ze de nodige maatregelen hebben genomen om te voldoen aan de eisen van NIS2.  Denk hierbij aan het implementeren van risicobeheersmaatregelen, het opstellen van een incidentenresponsplan, het uitvoeren van security audits en het voorzien van adequate trainingen voor medewerkers.  Het CCB zal toezicht houden op de naleving van NIS2 en kan in geval van niet-naleving sancties opleggen.  Het is dus van essentieel belang om deze deadlines serieus te nemen en tijdig actie te ondernemen.

Welke bedrijven zijn onderworpen aan NIS2?

Niet elk bedrijf valt onder NIS2. De richtlijn is van toepassing op bedrijven die actief zijn in de zogenaamde “essentiële” en “belangrijke” sectoren. Ondernemingen met meer dan 50 werknemers of een jaaromzet van meer dan 10 miljoen euro vallen onder deze richtlijn, tenzij ze als kleine of micro-ondernemingen worden geclassificeerd. Dit betekent dat veel meer organisaties nu actie moeten ondernemen om aan de nieuwe eisen te voldoen.

Essentiële sectoren zijn de volgende:

  • Energie: elektriciteit, gas, warmte en brandstoffen (productie, transport en distributie)
  • Transport: luchtvaart, spoorwegen, waterwegen en wegtransport
  • Bankwezen: kredietinstellingen, beleggingsondernemingen, betalingsdienstaanbieders
  • Financiële marktinfrastructuren: Beurzen, clearinghuizen, centrale effectenbewaarinstellingen
  • Gezondheidszorg: ziekenhuizen, apotheken, medische laboratoria
  • Drinkwater: productie, behandeling en distributie van drinkwater
  • Afvalwater: inzameling, behandeling en lozing van afvalwater
  • Digitale infrastructuur: Internet Exchange Points (IXP’s), Domain Name System (DNS) service providers, cloud computing diensten
  • Overheidsdiensten: openbare besturen op centraal, regionaal en lokaal niveau

Belangrijke sectoren zijn de volgende:

  • Post- en koeriersdiensten: verzending en bezorging van post en pakketten
  • Afvalbeheer: inzameling, verwerking en verwijdering van afval
  • Chemische stoffen: productie, opslag en distributie van chemische stoffen
  • Voedsel: productie, verwerking en distributie van voedsel
  • Productie van medische hulpmiddelen, apparatuur en in-vitro diagnostica
  • Ontwerp, productie en distributie van medische hulpmiddelen
  • Digitale aanbieders: online marktplaatsen, online zoekmachines, sociale netwerken

Let op: de reikwijdte van NIS2 kan veel breder zijn! De impact van NIS2 beperkt zich niet tot de bedrijven die rechtstreeks onder de richtlijn vallen.  Ook toeleveranciers en dienstverleners van deze bedrijven kunnen onrechtstreeks verplicht worden om te voldoen aan de NIS2-eisen.  Stel je bijvoorbeeld voor dat je een IT-bedrijf bent dat software levert aan een ziekenhuis.  Omdat het ziekenhuis onder NIS2 valt, zal het van jou als toeleverancier eisen dat je voldoet aan bepaalde cybersecurity standaarden.  

Hoe dan ook, ook als jouw bedrijf niet direct onder NIS2 valt, is het cruciaal om aandacht te besteden aan cybersecurity. Cyberrisico’s zijn immers niet beperkt tot grote spelers. Integendeel, KMO’s zijn vaak een makkelijkere prooi voor cybercriminelen, juist omdat ze minder investeren in cyberbeveiliging.

Wat betekent NIS2 dan concreet voor jouw bedrijf?

Als jouw bedrijf onder NIS2 valt, dan moet je aan een aantal belangrijke verplichtingen voldoen. 

Essentiële en belangrijke entiteiten moeten passende maatregelen nemen om hun netwerk- en informatiesystemen te beveiligen. Dit omvat risicoanalyses, incidentbehandeling, bedrijfscontinuïteit en cyberhygiëne. Bovendien moeten de bestuursorganen of leidinggevenden van deze entiteiten deze maatregelen goedkeuren en kunnen ze aansprakelijk worden gesteld voor eventuele inbreuken.

Belangrijke incidenten moeten onverwijld gemeld worden bij de bevoegde nationale autoriteiten. Dit omvat een vroegtijdige waarschuwing, een volledige incidentmelding en indien nodig, een tussentijds of eindverslag.

Praktische stappen om ook jouw bedrijf tijdig “NIS2 compliant” te maken

  • Bepaal of je onder de NIS2 valt: dat is afhankelijk van je sector en de grootte van je organisatie.
  • Voer een risicoanalyse uit: identificeer en beoordeel potentiële cybersecurityrisico’s.
  • Ontwikkel en implementeer een cybersecuritybeleid: dit moet incidentenbehandeling, bedrijfscontinuïteit, en cyberhygiëne omvatten.
  • Train je personeel: regelmatige trainingen over cybersecuritybewustzijn zijn essentieel.
  • Stel een incidentresponsplan op: zorg voor een duidelijk plan voor het melden van incidenten.
  • Voer regelmatige audits en beveiligingscontroles uit: zorg ervoor dat je beveiligingsmaatregelen effectief zijn.
  • Bereid documentatie en rapporten voor: hou gedetailleerde verslagen bij van je beveiligingsmaatregelen en incidenten.
  • Win ook tijdig juridisch advies in en laat je bijstaan voor het opstellen van policies en richtlijnen en voor een grondige contract audit voor wat betreft aansprakelijkheid bij cyberrisico’s.

Met deze voorzorgen kan je organisatie zich voorbereiden op de nieuwe eisen van de NIS2-richtlijn en een robuustere cyberbeveiligingshouding aannemen. Dat is niet alleen belangrijk voor de naleving van de wet, maar ook voor de bescherming van je bedrijf tegen de steeds geavanceerdere dreigingen van cyberaanvallen.

Ben jij niet onderworpen aan NIS2?  

Cybercriminelen malen niet om de vraag of jij al dan niet onderworpen bent aan NIS2.  Zij viseren gewoon élk bedrijf dat niet afdoende beveiligd is.  

Bovenstaande stappen zijn dus zéker ook nuttig voor bedrijven en organisaties die niet onder NIS2 vallen en voor élk bedrijf, ongeacht onder welke regelgeving het valt, is het van levensbelang om de nodige basale cybersecurityvoorzorgen te hanteren:

  • Regelmatige software updates: zorg ervoor dat al je software, inclusief beveiligingssoftware, up-to-date is.
  • Sterke wachtwoorden en Multi-Factor Authenticatie (MFA): gebruik sterke, unieke wachtwoorden en implementeer MFA voor extra beveiliging.
  • Bewustzijn en training van medewerkers: train je medewerkers in het herkennen van phishing-aanvallen en andere veelvoorkomende cyberdreigingen.
  • Back-up van gegevens: maak regelmatig back-ups van belangrijke gegevens en zorg dat deze veilig zijn opgeslagen.
  • Incident Respons Plan: bereid een plan voor om snel en effectief te reageren op beveiligingsincidenten.

Door deze maatregelen te nemen, kan je je organisatie beschermen tegen veelvoorkomende cyberdreigingen en de veerkracht van je informatiesystemen versterken.

Vragen over NIS2? Twijfel je of je onderworpen bent aan NIS2? Of vragen over cybersecurity in het algemeen? 

Ons team staat graag voor je klaar! Boek via de link hiernaast een vrijblijvend gesprek in of stuur een mailtje naar info@siriuslegal.be

Maak hier een afspraak

Sirius Blog

Interessant voor jou op onze blog

17.01.2025 Bart Van den Brande

17 januari is D-Day voor DORA: De nieuwe EU-verordening voor digitale operationele veerkracht

Vandaag, 17 januari 2025, is het D-Day voor DORA! De Digital Operational Resilience Act, die de digitale weerbaarheid van ...

27.02.2023 Bart Van den Brande

Cyberrisico’s voorkomen met gepaste technische en organisatorische maatregelen is ook een plicht onder GDPR

Cyberrisico’s zijn een steeds groter wordende bedreiging voor bedrijven van alle groottes en in alle sectoren. Om je ...

14.06.2024 Bart Van den Brande

DORA: Cyber Resilience voor de financiële sector, maar ook voor toeleveranciers

In een steeds digitaler wordende wereld nemen cyberrisico’s en cybercriminaliteit constant toe. Bedrijven van alle ...