NIS2 regelgeving in Belgische wetgeving gegoten

NIS is de afkorting van Network Information Systems en buigt zich over de beveiliging van netwerk informatie systemen.

De doelstellingen zijn:

• Het risico op hacking drastisch verminderen.
• De gevolgen van een hacking beperken.
• Via overleg en samenwerking op Europees niveau de weerbaarheid van de Europese bedrijven verbeteren.

NIS is waarschijnlijk niet nieuw voor u, want er bestaat immers al een Europese NIS richtlijn sinds 2019. 
NIS is toen gevolgd in het kielzog van GDPR.

NIS2 is de nieuwe NIS richtlijn, en belangrijke verbeteringen tov de “oude” NIS richtlijn zijn:

• Meer sectoren in scope.
• Verplichte melding van incidenten.
• Sancties voor bedrijven die NIS2 niet naleven.
• Meer verantwoordelijkheden én bevoegdheden.
• Meer uniformiteit in regelgeving tussen de lidstaten (dit was het heikel punt van de NIS richtlijn in 2019).
• Nauwere samenwerking tussen Europese landen dankzij een Cyber Security Incident Response Team (CSIRT).

Dat kan u beoordelen aan de hand van 3 parameters:

• Kriticiteit van uw sector.
• De soort diensten/activiteiten die uw organisatie aanbiedt.
• Grootte van uw organisatie.

Kritieke sectoren worden onderverdeeld in gewone Kritieke Sectoren en Zeer Kritieke Sectoren.

Tot de Zeer Kritieke Sectoren behoren: Digitale Infrastructuur, Energie, Vervoer (land/zee/lucht), Ruimtevaart, Bank- en Financiewezen, Drinkwater, Afvalwater, Overheid, Gezondheidszorg, Beheer van ICT Diensten en Infrastructuur voor Financiële Markten.

Tot de gewone Kritieke Sectoren behoren: Post- en Koerierdiensten, Afvalstoffenbeheer, Digitale Aanbieders (Telco), Chemie, Productie/Verwerking/Distributie van Voeding/Levensmiddelen, Producenten van Medische Diagnostiek, Informaticaproducten, Elektrische Apparatuur, Machines/Apparaten/Werktuigen, Motorvoertuigen en Andere Transportmiddelen.

Opgelet: Indien uw organisatie niet in de scope van NIS2 valt, maar één van uw klanten wel, dan is die klant verplicht hun leveranciers (waaronder u) te auditen op NIS2 conformiteit van uw diensten naar hen toe!
Gevolg: bijna elke organisatie zal maatregelen moeten nemen.

Er zijn 10 Basisprincipes in NIS2 waaraan elke organisatie moet voldoen:

   1)   Organisatie van cyber security binnen de onderneming: een Information Security Policy is verplicht, alsook het aanduiden van een of meer verantwoordelijken en een deugdelijke risico analyse.  

   2)   Incidentenbeheer met strikte meldplicht van incidenten.

   3)   Garantie voor de bedrijfscontinuïteit: hiertoe behoren zowel het beheer van back-ups als de Business Continuity en Disaster Recovery Procedures op zich.

   4)   Leveranciersbeoordeling.

   5)   Beleid inzake de veilige ontwikkeling en het onderhoud van informatiesystemen.

   6)   Monitoren en meten van de efficiëntie van de beveiligingsmaatregelen, inclusief audits.

   7)   Basispraktijken voor cyber hygiëne.

   8)   Beleid inzake cryptografie en encryptie.

   9)   Asset management.

   10)   Toegangsbeheer, zowel fysiek als virtueel met een maximaal gebruik van multifactor authenticatie (MFA). 

TOP TIP: Met een ISO 27001 certificaat voldoet uw organisatie al automatisch aan de hoogste NIS2 vereisten. 
Bovendien wordt ISO 27001 meer en meer een standaard tendering requirement en biedt het u bovenop de verhoogde informatieveiligheid meteen ook een commercieel voordeel.