NIS2 Compliance

Wat is NIS2?

Eind 2022 werd de NIS2 Directive in het leven geroepen. Deze opvolger van de NIS (Network and Information Systems) Directive zorgt voor een aanzienlijke scope-uitbreiding van zowel organisaties die aan NIS2 moeten voldoen alsook strenger toezicht op naleving van de verplichtingen. NIS2 heeft tot doel een gemeenschappelijk niveau van digitale beveiliging in alle EU lidstaten tot stand te brengen en richt zich op sectoren en diensten die van vitaal belang zijn voor de maatschappij, de lidstaten of de Unie. Het aantal publieke en private organisaties die onder de Richtlijn vallen wordt dus heel wat groter dan onder voorgaande versie.

Door de beveiligingseisen aan te scherpen, de rapportageverplichtingen te stroomlijnen en strengere toezichtmaatregelen en geharmoniseerde sancties in te voeren, is NIS2 erop gericht een veiligere en veerkrachtigere digitale omgeving te creëren en het niveau van cyberveiligheid in alle Europese lidstaten te verhogen. Tegen 17 oktober 2024 moeten alle lidstaten de NIS2 Directive omzetten in nationale wetgeving waarna de vereisten effectief afdwingbaar worden.

Ontdek hier of jouw organisatie moet voldoen aan NIS2!

Vragen? Onze experts helpen je graag verder.

Wie zal moeten voldoen aan NIS2?

NIS2 is gericht op middelgrote (+50 werknemers of een omzet van +10 miljoen euro) en grote bedrijven (+250 werknemers of een omzet van +50 miljoen euro) in een aantal kritieke sectoren. Deze sectoren zijn:

Kleine ondernemingen en micro-ondernemingen vallen buiten het toepassingsgebied van NIS2, tenzij de Belgische autoriteiten hen als belangrijk of essentieel beschouwen.

Om geen ruimte voor interpretatie van de sectoren toe te laten (wat in de eerste versie van NIS een probleem was), voorziet de Directive heel gedetailleerde voorwaarden binnen elke sector. Daarnaast zijn er ook een aantal uitzonderingen vastgelegd binnen de (sub)sectoren. Om die reden heeft Infosentry een self-assessment gemaakt waar je zelf kan ontdekken of jouw organisatie zal moeten voldoen aan NIS2.

Download onze whitepaper en ontdek meer over NIS2.

Wat zijn de vereisten van NIS2?

Wat zijn de vereisten van NIS2?

Organisaties die onder NIS2 als belangrijk of essentieel gezien worden moeten voldoen aan heel wat verplichtingen rond cybersecurity, risicomanagement en rapporteringen. Zij zullen een efficiënt cyberbeveiligingsbeleid moeten voeren, met passende operationele, organisatorische en technische maatregelen om cyber risico’s te detecteren en mitigeren. Dit met betrokkenheid van bestuursorganen binnen de organisatie die verplichte training moeten krijgen in cybersecurity risicobeheer. 

De maatregelen die minimaal genomen moeten worden zijn de volgende: 

  1. Risicoanalyse en cyberbeveiligingsbeleid
  2. Procedures voor behandeling van incidenten
  3. Bedrijfcontinuïteit en crisisbeheer
  4. Beveiliging bij aankoop, ontwikkeling en onderhoud van systemen
  5. Beveiliging van de supply chain
  6. Beleid en procedures om cybersecurity maatregelen te evalueren
  7. Elementaire cybersecurity praktijken en training
  8. Beleid en procedures rond cryptografie en toepassing van encryptie
  9. Veiligheidsaspecten voor personeel, toegangsbeheer en asset management
  10. Multifactor authenticatie
  11. Beveiligde communicatiesystemen voor crisissituaties 

NIS2 stroomlijnt ook de rapportageverplichtingen met betrekking tot cyberbeveiligingsdreigingen en -inbreuken. Significante cyber incidenten moeten binnen 24 uur na de ontdekking ervan gemeld worden aan de bevoegde toezichthoudende autoriteiten, gevolgd door een tussentijds verslag binnen 72 uur en een eindverslag van het incident binnen een maand na de eerste melding.

Tot slot wordt er ook ingezet op kennisdeling binnen de Europese Unie over de grenzen heen. Organisaties zullen informatie over cyberbeveiligingsrisico’s en -maatregelen met elkaar en met de lokale overheid delen via gemeenschappen en geautomatiseerde instrumenten. Dit zal bijdragen tot een gecentraliseerd Europees “kwetsbaarheidsregister” van ICT-producten en -diensten, waarvoor elke lidstaat een speciaal contactpunt zal hebben.

Welke sancties zijn er mogelijk bij niet-naleving?

Elke lidstaat wijst een aantal instanties aan die het toezicht zullen uitoefenen. In België zullen dat onder meer het CCB (Centrum voor Cyberveiligheid) en het BIPT (Belgisch Instituut voor Postdiensten en Telecommunicatie) zijn. Organisaties die de voorschriften van NIS2 niet naleven, worden onderworpen aan een aantal mogelijke sancties, zoals:

  • Het opleggen van termijnen voor naleving of remediëring van kwetsbaarheden en incidenten
  • Het publiek maken van niet-naleving
  • Verplichte stopzetting van diensten of activiteiten
  • Schorsing van de CEO of wettelijke vertegenwoordigers
  • Administratieve sancties tot maximaal 10 miljoen euro of 2% van de totale inkomsten voor essentiële entiteiten en 7 miljoen euro of 1,4% van de totale inkomsten voor belangrijke entiteiten

Welke ondersteuning kan Infosentry bieden in het kader van de NIS2 compliance?

Hoe ziet een NIS2 traject eruit?

Hoe ziet een NIS2 traject eruit?

Een NIS2 implementatietraject bestaat uit 3 overkoepelende fases: assessment, implementatie en follow-up. 

Assessment:

Na een analyse of de organisatie zal moeten voldoen aan NIS2 (en als 'essentiële' dan wel 'belangrijke' entiteit wordt gekwalificeerd) brengen we de huidige maturiteit en tekortkomingen tegenover de NIS2 vereisten in kaart. Er wordt een plan opgesteld die het verdere implementatietraject organiseert en de te ondernemen acties definieert.

Implementatie:

We zetten een managementsysteem conform de ISO27001 standaard en het Cyberfundamentals Framework van de CCB op. Infosentry adviseert en ondersteunt de beslissingen die omtrent risicobeheer, cybersecurity beleid, aanpak en technische of organisatorische maatregelen moeten worden genomen. We stomen uw organisatie zo klaar voor NIS2. Als sluitstuk kunnen we interne audits uitvoeren of assistentie verlenen bij inspecties door toezichthoudende autoriteiten.

Follow-up:

Toezichthoudende autoriteiten kunnen de effectiviteit van het cybersecurity beleid en naleving steeds NIS2 controleren. Het is belangrijk dat naleving op lange termijn wordt gegarandeerd. Infosentry helpt u via CISOaaS, interne audits, workshops, bewustmakingssessies of ad-hocondersteuning uw cybersecurity aanpak en managementsysteem te onderhouden en continu te verbeteren.

Infosentry heeft de expertise en ervaring in huis om met een zeer pragmatische aanpak het implementatieproces te doorlopen, uw organisatie te ontzorgen en het traject van begin tot einde te begeleiden. Infosentry werkt met een plan van aanpak op maat van uw organisatie, neemt het voortouw (incl. projectmanagement) in opzetten, documenteren en implementeren van uw cybersecurity aanpak en staat (indien gewenst) in voor het verder onderhoud van uw ISMS.

Gesubsidieerde NIS2 trajecten voor Vlaamse KMO's

Ben je een Vlaamse KMO en heb je nood aan een NIS2 traject? Dan kan een NIS2 traject met subsidies van VLAIO opgestart worden.

Infosentry werd samen met Cronos Security als partner geselecteerd en kan tot 40 KMO’s per jaar via deze gesubsidieerde verbetertrajecten begeleiden. Hierin wordt door VLAIO 50% van de totale kostprijs voor een security of NIS2 traject gesubsidieerd.

Meer informatie over de subsidiemogelijkheden voor KMO’s vind je op deze pagina.

Whitepaper:
Is jouw organisatie klaar voor NIS2?

Whitepaper: NIS2, is jouw organisatie er klaar voor?

Download onze whitepaper om meer te weten te komen over NIS2 en hoe dit jouw organisatie impacteert. 

Self-Assessment:
Moet jouw organisatie voldoen aan NIS2?

Self-assessment: Moet jouw organisatie voldoen aan NIS?

Ontdek via onze self-assessment kosteloos of jouw organisatie zal moeten voldoen aan NIS2 vereisten.

Deadline voor lidstaten om NIS2 om te zetten in nationale wetgeving

Days
Hours
Minutes
Seconds

Vraag vrijblijvend een NIS2 assessment aan

Is uw onderneming voorbereid op NIS2? Of bent u nog niet volledig zeker? Geen enkel probleem! Vraag vandaag nog vrijblijvend een NIS2 assessment aan.

Door middel van deze efficiënte en doelgerichte assessment kunnen onze experten op zeer korte en betaalbare manier een duidelijk en volledig beeld scheppen van de stand van zaken in uw onderneming!

Op deze manier kunnen we dus samen onnodige kosten en tijd vermijden. Op basis van deze assessment wordt er beslist hoe het actieplan eruit zal zien.

Meer informatie over onze services?

Ons team komt graag bij u langs