Photo by FlyD on Unsplash
Als ICT-specialist krijgen we vaak de vraag : is de NIS2-richtlijn ook op mij van toepassing? Deze wet legt immers nieuwe cybersecurity-eisen op voor Belgische kmo’s die actief zijn in kritieke sectoren. Om compliant te zijn, moet je een gestructureerde en vooruitziende aanpak hanteren, en de juiste reflexen ontwikkelen in risicobeheer. Lees je mee?
Wat betekent NIS2 voor jou?
NIS2 wil de cyberweerbaarheid in Europa versterken. De regels gelden zodra je kmo minstens 50 werknemers telt of een jaaromzet haalt van 10 miljoen euro, én actief is in een van de 18 kritieke sectoren: energie, gezondheid, ICT … Voor grotere organisaties (vanaf 250 medewerkers of 50 miljoen omzet) als “essentiële entiteiten” zijn de verplichtingen nog strenger.
Zelfs als je er niet rechtstreeks onder valt, is het nuttig om dezelfde reflexen en processen toe te passen. Bovendien kan je toch onrechtstreeks betrokken zijn via één van je leveranciers. In de laatste paragraaf lees je waarom.
Check of je bedrijf erbij hoort en registreer je
Eerste stap? Kijk na of je bedrijf onder de criteria valt: sector en grootte. Is dat het geval, dan moet je je entiteit registreren via het Safeonweb@Work-portaal van het Centrum voor Cybersecurity België. Zo leg je formeel vast dat je conform werkt.
Lees ook: Mobiele beveiliging: Knox Suite beschermt en optimaliseert je Samsung-vloot
Focus op risico’s en preventie
Een degelijke risico-analyse is onmisbaar: waar ben je kwetsbaar? Hoe lopen je kritische processen? Waar kan een cyberaanval het hardst toeslaan? Op basis daarvan bepaal je prioriteiten: updates, back-ups, toegangsbeheer, bewustmaking van medewerkers … Belangrijk is dat je dit documenteert en regelmatig evalueert.
Noodplannen en veiligheid op orde krijgen
- Crisis- en continuïteitsplan
- Duidelijke procedures voor incidentmelding
- Betrouwbare back-upoplossingen
- Regelmatige opleidingen voor je teams rond digitale veiligheid
Melding van incidenten: snel en correct
Bij een ernstig incident moet je het Centrum voor Cybersecurity België op de hoogte brengen:
- Eerste melding binnen 24 uur
- Uitgebreid rapport binnen 72 uur
- Eindrapport binnen 1 maand (of een update als het incident nog niet opgelost is)
Een goed voorbereid proces maakt dat je sneller en efficiënter reageert als er echt iets gebeurt.
Lees ook: Siri: een beveiligde en professionele assistent
Hoge boetes bij niet-naleving
Niet conform? Dat kan zwaar wegen: voor “belangrijke entiteiten” tot 7 miljoen euro of 1,4% van de omzet; voor “essentiële” entiteiten zelfs tot 10 miljoen of 2%. Bestuurders kunnen ook persoonlijk aansprakelijk worden gesteld. Nog een reden om je conformiteit op orde te hebben.
Leveranciers en de volledige keten betrekken
Elke onderneming die onder NIS2 valt, moet erop toezien dat ook haar leveranciers de regels naleven. Zo verspreidt de verplichting zich doorheen de volledige keten. Resultaat: ook een kmo die denkt “niet rechtstreeks betrokken” te zijn, kan toch onrechtstreeks getroffen worden.
Samengevat:
- Welke kmo’s vallen onder NIS2?
Elke onderneming met meer dan 50 werknemers of meer dan 10 miljoen euro omzet, in een kritieke sector.
- Wat zijn de deadlines voor incidentmeldingen?
Binnen 24 uur melden, binnen 72 uur een rapport, en een eindrapport binnen 1 maand.
- Wat zijn de risico’s bij niet-conformiteit?
Boetes tot 10 miljoen euro of 2% van de omzet, plus mogelijke persoonlijke aansprakelijkheid voor bestuurders.