Op 18 oktober 2024 treedt de nieuwe NIS2-wet in werking. Deze nieuwe wet, die volgt uit een Europees wetgevend initiatief, beoogt het niveau van cybersecurity in ons land te verhogen en zal heel wat ondernemingen rechtstreeks raken.
Belangrijk om weten is dat de nieuwe NIS2-wet een zeer ruim toepassingsgebied heeft en concrete verplichtingen met zich meebrengt voor zowel private als publieke entiteiten die eronder vallen.
In deze nieuwsbrief loodsen we u graag pragmatisch door de nieuwe regels, om inzichtelijk te maken op welke manier NIS2 een impact zou kunnen hebben op uw business.
Zo zoomen we in op volgende aspecten:
- Wat is de NIS2-wet precies?
- Welke sectoren en bedrijven moeten NIS2 zeker op de agenda zetten?
- Wat zijn de vereisten onder NIS2?
- Hoe streng zijn de sancties onder NIS2?
- Side note: blijft u buiten schot?
- SOS NIS 2
1. De NIS2-wet: wat zit er achter het acroniem?
In een wereld waar digitale veiligheid steeds belangrijker wordt, introduceert de Belgische wetgever de NIS2-wet. “NIS” staat voor ‘Network and Information Security’. Het doel van NIS2 is helder: het verbeteren van de digitale weerbaarheid van Europese lidstaten door het inzetten op een betere Europese harmonisatie en een hoger niveau van informatiebeveiliging en cybersecurity bij private en publieke organisaties.
De NIS2-wet is de Belgische implementatie van de Europese NIS2-richtlijn (Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie). De NIS2-wet vervangt de eerdere NIS1-wetgeving en breidt het toepassingsgebied aanzienlijk uit.
2. Op wie is NIS2 van toepassing?
Om te bepalen of uw organisatie (privaat of publieke onderneming) onder de NIS 2-wet valt, zijn drie criteria van tel: de sector, de grootte van uw organisatie en uw link met België.
In eerste instantie is NIS2 van toepassing op entiteiten die werkzaam zijn binnen een sector die opgenomen staat in bijlage I en II van deze wet. Enkele voorbeelden van zulke sectoren zijn: vervoer, energie, gezondheidszorg, digitale infrastructuur, ICT-dienstenbeheer (B2B) en digitale aanbieders.
Ook overheden en publieke entiteiten kunnen onder het toepassingsgebied van NIS2 vallen van zodra ze hoofdzakelijk activiteiten verrichten binnen een van de genoemde sectoren. Ziekenhuizen, vervoersmaatschappijen of publiekrechtelijke ICT-dienstverleners zullen bijvoorbeeld de dans niet ontspringen.
Naast de betrokken sector, is ook de grootte van een entiteit relevant voor de toepasselijkheid van de NIS2-Wet. In principe is de NIS2-Wet van toepassing wanneer een entiteit ten minste 50 voltijdse werknemers (of een equivalent daarvan) in dienst heeft en een jaaromzet van meer dan 10 miljoen euro presteert. Let wel, NIS2 voorziet een heel aantal uitzonderingen op deze omvangsvereisten, waardoor de grootte van een bedrijf niet steeds doorslaggevend is om de toepasbaarheid van de NIS2-Wet te bepalen.
NIS2 geldt voor in België gevestigde entiteiten die diensten verlenen binnen de EU. Ook hierop bestaan een aantal uitzonderingen voor bepaalde types van dienstverleners.
Wilt u weten of uw onderneming al dan niet onder het toepassingsgebied valt, dan kunnen de experts van Monard Law u daar snel en efficiënt zekerheid over bieden.
3. Welke verplichtingen legt de NIS2-Wet op?
Eens u sluitend heeft uitgemaakt of u al dan niet onder NIS2 valt, is het van belang om te weten welke concrete verplichtingen daar bij komen kijken en belangrijker nog: welke impact heeft dit op uw business?
We lichten graag toe waar u zich aan kan verwachten.
Als uw organisatie onder de NIS2-wet valt, heeft u verschillende verplichtingen:
1. Registratie
U dient uw organisatie te registreren op het Safeonweb@Work platform. De deadline hiervoor is 18 maart 2025 voor de meeste organisaties.
2. Cyberveiligheidsmaatregelen
U bent verplicht passende technische en organisatorische maatregelen te nemen om cyberrisico’s te beheren.
3. Incidentmelding
Significante incidenten moeten binnen 24 uur gemeld worden aan het nationale Computer Security Incident Response Team (het CCB). Er zijn specifieke procedures voor de melding en voor de opvolging van incidenten.
4. Managementverantwoordelijkheden
Het bestuur van uw organisatie moet de cyberveiligheidsmaatregelen goedkeuren en toezicht houden op de implementatie. Bestuursleden zijn bovendien verplicht om relevante opleidingen te volgen.
De omvang van deze verplichtingen kan variëren naargelang een entiteit kwalificeert als essentieel of belangrijk. Zo zijn de ‘passende’ cyberveiligheidsmaatregelen voor een onderneming met een belangrijke omvang in een kritieke sector vanzelfsprekend uitgebreider dan voor een kleinere speler in een minder kritieke sector.
4. Sancties: wat zijn de concrete risico’s indien u niet voldoet aan de NIS2-verplichtingen?
Zoals de titel van deze nieuwbrief helder stelt: NIS2 is cybersecurity met tanden. Het niet voldoen aan de NIS2-verplichtingen kan verschillende maatregelen en sancties triggeren voor de entiteiten én haar bestuurders.
Naast aanbevelingen en aanwijzingen, kunnen de bevoegde autoriteiten de NIS2-verplichtingen handhaven met boetes tot 10.000.000 EUR of tot 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar.
Daarnaast kan de bevoegde autoriteit bevelen dat een certificering of vergunning met betrekking tot de door de hardleerse entiteit verleende diensten of verrichte activiteiten, tijdelijk wordt opgeschort.
De niet-naleving van de NIS 2-verplichtingen raakt niet enkel de entiteit zelf, maar ook haar bestuursorganen. De NIS2-Wet voorziet immers een aansprakelijkheid van de bestuursorganen voor de NIS2-inbreuken.
5. Side note: buiten schot maar in het vizier?
Indien u niet onder het toepassingsgebied van NIS2 valt, heeft u ademruimte. Dat wilt echter niet zeggen dat uw onderneming geen risico loopt. Het blijft raadzaam om zich te beraden over de veiligheid van de systemen die dagdagelijks worden gebruikt.
Mogelijks is het nuttig om te informeren naar verzekeringsopties.
Onthoud verder dat de vaststelling dat een entiteit niet rechtstreeks onder NIS2 valt, niet automatisch wilt zeggen dat u er niet mee te maken zal krijgen. Mogelijks vallen belangrijke zakenrelaties wel onder NIS2 en zal dat onrechtstreeks een impact hebben. Indien uw leverancier bijvoorbeeld moet investeren in bijkomende beveiligingsmaatregelen, kan dat een impact hebben op de prijzen die overeengekomen werden. Daarnaast verdienen nauw geformuleerde aansprakelijkheidsclausules de nodige aandacht om te voorkomen dat bepaalde risico’s ongelijkmatig worden verdeeld.
6. Conclusie
De NIS2-wet brengt belangrijke veranderingen met zich mee voor veel Belgische organisaties. Het is cruciaal om te bepalen of uw organisatie onder de NIS2-wet valt en, zo ja, tijdig de nodige stappen te ondernemen om compliant te worden. Door proactief te handelen, kunt u niet alleen aan de wettelijke vereisten voldoen, maar ook de cyberveiligheid van uw organisatie aanzienlijk versterken.
Monard Law ondersteunt u graag bij het in kaart brengen van uw wettelijke verplichtingen onder de NIS2-regelgeving. Zo minimaliseert uw onderneming zowel haar juridische risico’s alsook de economische impact die cybercriminaliteit kan hebben op uw dagelijkse bedrijfsvoering.
Indien u door de bomen het bos niet meer ziet: het inschakelen van gespecialiseerde ondersteuning kan mogelijks (deels) gesubsidieerd worden. Neem gerust contact om te informeren naar de mogelijkheden.
