Hoe de NIS2-regelgeving KMO’s zal beïnvloeden

04 mrt, 2024

Hoe de NIS2-regelgeving KMO’s zal beïnvloeden

NIS2 regulation, NIS2-regelgeving, information security, KMO, SME

04 mrt, 2024

David Callebaut

CISO Lead & Founding Partner

In oktober van dit jaar treedt de NIS2-regelgeving in werking. Deze regelgeving is van toepassing op sectoren en diensten die van vitaal belang zijn voor de maatschappij, de lidstaten of de Europese Unie, en vereist dat er voldoende bescherming is tegen cyberaanvallen. NIS2 is gericht op middelgrote (+50 werknemers of een omzet van +10 miljoen euro) en grote bedrijven (+250 werknemers of een omzet van +50 miljoen euro) in een aantal kritieke sectoren. KMO’s kunnen echter ook de impact hiervan ondervinden als zij toeleverancier zijn van deze organisaties.

NIS2-regelgeving

NIS2 is de afgekorte naam van de EU Directive on Security of Network and Information Systems, die tot doel heeft de digitale infrastructuur te beschermen. Deze regelgeving verplicht essentiële en belangrijke entiteiten om passende beveiligingsmaatregelen te nemen en incidenten te melden. In de NIS2-regelgeving zijn er 2 annexen opgenomen die bepalen welke bedrijven en sectoren als belangrijk of essentieel moeten worden beschouwd. Voorbeelden van sectoren zijn energie, gezondheidszorg, transport, ICT service management, chemie, voeding, manufacturing, … Via onze self-assessment kan je nagaan of jouw organisatie aan NIS2 moet voldoen of niet.

NIS2 beoogt de weerbaarheid tegen cyberdreigingen te versterken en de algehele digitale veiligheid in Europa te waarborgen. Een aantal aspecten die hieronder vallen zijn onder andere:

Het opzetten van een degelijk risicobeheer en securitybeleid, inclusief het evalueren van de effectiviteit van het beleid;
Een adequate netwerkbeveiliging met een goed functionerende monitoring;
Een efficiënt incidentbeheer waarbij meldingsplicht geldt naar autoriteiten binnen de 72 uur;
Het garanderen van bewuste en getrainde interne en externe medewerkers als het gaat over cyberveiligheid binnenin en extern aan een organisatie;
Een plan voor het beheren van de bedrijfsvoering tijdens en na een beveiligingsincident (ook gekend als: business continuity management);
Beveiliging rond de “supply chain” en de relatie tussen het bedrijf en de toeleveranciers.

Vooral de laatste twee punten zijn van belang voor KMO’s. Als toeleverancier van een organisatie die onder de NIS2-regelgeving valt, heeft een KMO een niet te onderschatten verantwoordelijkheid op te nemen.

Waarom zijn deze aspecten cruciaal voor KMO's?

Continuïteit van dienstverlening: Een toeleverancier moet in staat zijn om snel te reageren op incidenten en de dienstverlening te handhaven om zijn klant toe te laten aan de vereisten van NIS2 te voldoen.
Risicobeheer: Door deze risico’s in kaart te brengen en passende maatregelen te nemen, kan een toeleverancier proactief de impact van potentiële cyberdreigingen verminderen.
Ketenafhankelijkheid: Toeleveranciers zijn vaak afhankelijk van verschillende schakels in de toeleveringsketen van hun klant en hun eigen ketens. Ze zijn als dusdanig “slechts” een schakel in de volledige ketting.
Wet- en regelgeving naleving: NIS2 vereist dat toeleveranciers passende beveiligingsmaatregelen nemen. Als toeleverancier word je dus ook verwacht om te voldoen aan de wettelijke vereisten en je voor te bereiden op eventuele controles of audits.
Kostenbeheersing: Een goed voorbereide toeleverancier kan helpen de kosten van cyberincidenten te beheersen voor zijn klant en zichzelf door de impact te verminderen en het herstelproces te stroomlijnen.

Moet ik dan als KMO ook de volledige NIS2-regelgeving naleven?

Logischerwijs komt de vraag naar boven: “Moet ik dan als KMO ook de volledige NIS2-regelgeving naleven?”. Middelgrote bedrijven (+50 medewerkers of +10 miljoen euro omzet) actief in Annex 1 of Annex 2 van NIS2 (bv. transport, digitale infrastructuur en ICT service management) zullen als belangrijk gezien worden en zullen aan de vereisten van NIS2 moeten voldoen. In uitzonderlijke gevallen zullen ook kleine organisaties onder het toepassingsgebied vallen, bijvoorbeeld DNS service providers. Ontdek het via onze self-assessment.

KMO’s die diensten leveren aan essentiële of belangrijke organisaties, moeten uiteraard niet zo ver gaan. Echter, een goed doordacht cyberbeleid met passende procedures, toezicht en technische maatregelen is essentieel om te voorkomen dat ze de zwakste schakel in de keten worden. Daarnaast zullen klanten die aan NIS2 moeten voldoen, verhoogde cybersecurity eisen opleggen aan haar toeleveranciers. Het behalen van een ISO27001-certificaat kan hierbij van grote hulp zijn om aan klanten en toezichthouders voldoende security maturiteit te kunnen aantonen.

VLAIO Cybersecurity verbetertraject De Vlaamse Regering en VLAIO investeren 4 miljoen euro per jaar in cybersecurity voor KMO’s vanwege de toenemende cyberaanvallen. Dit geld wordt gebruikt voor onderzoek, opleidingen en verbetertrajecten op het gebied van cybersecurity. Infosentry is geselecteerd om deze verbeter-trajecten uit te voeren en kan tot 40 KMO's per jaar begeleiden. Hierin wordt door VLAIO 50% van de totale kostprijs gesubsidieerd. Dit moet de weerbaarheid van KMO's tegen cyberaanvallen vergroten.

Moet jouw organisatie voldoen aan NIS? Ontdek via onze self-assessment kosteloos of jouw organisatie zal moeten voldoen aan NIS2 vereisten.

NIS2, is jouw organisatie er klaar voor?Download onze whitepaper om meer te weten te komen over NIS2 en hoe dit jouw organisatie impacteert.

Ontdek alles over de NIS2-regelgeving, inclusief het verloop van een NIS2-traject, de partijen die eraan moeten voldoen en de consequenties bij het niet naleven ervan.

Op zoek naar hulp of advies?
Ontdek hoe Infosentry jouw organisatie kan ondersteunen bij haar security uitdagingen.

informatieveiligheid, information security, KMO, NIS2

Cookie	Looptijd	Omschrijving
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_pk_id.cb79863f-1ef6-487d-9ffd-7aa8e2b420db.126d	1 year 27 days	Piwik Pro Cookie - Used to recognize visitors and hold their various properties.
_pk_ses.cb79863f-1ef6-487d-9ffd-7aa8e2b420db.126d	30 minutes	Piwik Pro Cookie - Shows the visitor’s active session. If the cookie doesn’t exist, it means that the session ended more than 30 minutes ago and was counted in the _pk_id cookie.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
stg_last_interaction	1 year	Piwik Pro Cookie - Indicates whether the last visitor’s session is still running or a new session has started.
stg_returning_visitor	1 year	Piwik Pro Cookie - Indicates whether the visitor has been to your site before – they are a returning visitor.
stg_traffic_source_priority	30 minutes	Piwik Pro Cookie - Stores the type of traffic source from which the visitor came to your site.

Cookie	Looptijd	Omschrijving
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	5 months 27 days	Description is currently not available.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

04 mrt, 2024