De NIS2-richtlijn (Richtlijn (EU) 2022/2555) is het herziene EU-kader voor netwerk- en informatiebeveiliging, ter vervanging van de oorspronkelijke NIS-richtlijn van 2016. Zij trad in werking op 16 januari 2023 en vereiste omzetting in nationale wetgeving vóór 17 oktober 2024. In België werd de NIS2-richtlijn omgezet door de Wet van 26 april 2024 betreffende de cyberbeveiliging van netwerk- en informatiesystemen. NIS2 breidt het toepassingsgebied, de verplichtingen en het handhavingsregime van zijn voorganger aanzienlijk uit, waardoor een veel breder scala aan sectoren en organisaties binnen de verplichte cyberbeveiligingsvereisten valt dan onder het oorspronkelijke kader.
De strategische betekenis van NIS2 is dat het cyberbeveiliging verschuift van een vrijwillig best-practice-kader naar een verplichte wettelijke verplichting voor een groot deel van de Belgische en EU-economie. Organisaties die voorheen buiten het NIS-toepassingsgebied vielen — of die cyberbeveiliging als een IT-aangelegenheid beheerden zonder governance op bestuursniveau — moeten nu beoordelen of zij binnen het toepassingsgebied van NIS2 vallen, verplichte beveiligingsmaatregelen implementeren en incidentmeldingsprocedures instellen. Senior management staat persoonlijk in voor de naleving van cyberbeveiliging, een opmerkelijke breuk met het vorige recht.
NIS2 is van toepassing op middelgrote en grote organisaties (50+ werknemers of €10 miljoen+ omzet) die actief zijn in een van de 18 sectoren die zijn ingedeeld als essentiële of belangrijke entiteiten. Essentiële entiteiten omvatten: energie (elektriciteit, gas, olie, stadsverwarming), transport (lucht, rail, water, weg), bankwezen, infrastructuur voor financiële markten, gezondheid (ziekenhuizen, klinische laboratoria, farmaceutische fabrikanten), drinkwater, afvalwater, digitale infrastructuur (internetuitwisselingspunten, DNS-providers, TLD-registers, cloudproviders, datacenters, CDN's), beheer van ICT-diensten (B2B beheerde dienstverleners en beheerde beveiligingsdienstverleners), en overheidsadministratie. Belangrijke entiteiten omvatten: post- en koeriersdiensten, afvalbeheer, chemische productie, levensmiddelenproductie, productie (medische hulpmiddelen, elektronica, machines, motorvoertuigen), digitale providers (online marktplaatsen, online zoekmachines, sociale netwerkplatforms) en onderzoek.
NIS2-plichtige entiteiten moeten: een risicobeheerkader implementeren dat technische en organisatorische maatregelen voor cyberbeveiliging omvat; beveiligingsincidenten aan de nationale bevoegde autoriteit (in België: het CCB) melden binnen 24 uur (vroege waarschuwing) en 72 uur (kennisgeving); de cyberbeveiliging van hun toeleveringsketen beoordelen; en de verantwoordelijkheid voor het toezicht op de naleving van cyberbeveiliging toewijzen aan senior management, inclusief bestuursleden. De handhavingsbevoegdheden zijn aanzienlijk uitgebreid ten opzichte van de oorspronkelijke NIS-richtlijn: administratieve boetes voor essentiële entiteiten kunnen oplopen tot €10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welke hoger is.
De eerste stap is het bepalen of uw organisatie actief is in een van de 18 sectoren die door NIS2 worden bestreken, en of zij voldoet aan de drempelwaarden voor middelgrote of grote entiteiten (50+ werknemers of €10 miljoen+ omzet). Kleine organisaties (minder dan 50 werknemers en minder dan €10 miljoen omzet) vallen in principe buiten het toepassingsgebied, tenzij zij gekwalificeerd zijn als kritieke infrastructuurleveranciers. Het CCB (Centre for Cybersecurity Belgium) biedt richtsnoeren en een zelfbeoordelingstool. Juridisch advies is raadzaam voor organisaties in grensgevallen of die actief zijn in meerdere lidstaten.
Een NIS2-nalevingsprogramma omvat typisch: een gap-analyse ten opzichte van de NIS2-vereisten; beoordeling en actualisering van de risicobeheerprocedures voor cyberbeveiliging; implementatie of actualisering van incidentdetectie-, respons- en rapportageprocedures; beoordeling van de beveiliging van de toeleveringsketen voor kritieke technologieleveranciers; governance-actualisering om senior management accountability voor cyberbeveiliging te formaliseren; en personeelsopleiding. De omvang en tijdlijn van het nalevingsprogramma varieert sterk afhankelijk van de omvang en het huidige volwassenheidsniveau van de cyberbeveiliging van de organisatie.
NIS2 en GDPR zijn overlappende maar afzonderlijke kaders. Een cyberincident dat persoonsgegevens in gevaar brengt, activeert doorgaans zowel de NIS2-incidentmeldingsverplichtingen (melding aan het CCB) als de GDPR-inbreukmelding (melding aan de Gegevensbeschermingsautoriteit als de inbreuk een risico voor betrokkenen inhoudt). De tijdlijnen zijn enigszins verschillend: NIS2 vereist een vroege waarschuwing binnen 24 uur, terwijl GDPR een melding binnen 72 uur vereist. Organisaties die onder beide kaders vallen — wat voor de meeste NIS2-plichtige entiteiten het geval is — dienen geïntegreerde incidentresponsprocedures te handhaven die beide nalevingsvereisten gelijktijdig aanpakken.
%402x.svg){kind=icon}
%402x.svg){kind=small}
%402x.svg){kind=icon}
