Contact

STRATEGIE

NIS2 regelgeving in Belgische wetgeving gegoten

Filip

Filip Jacobs - 18/08/2024

Senior Consultant Informatieveiligheidsmanagement

Efficïent werken

digitaliseren

Preventie en veiligheid

Informatieveiligheid - ISO 27001

In mei 2024 is de Europese NIS2 regelgeving in Belgische wetgeving gegoten.
De uitvoeringsbesluiten gaan in vanaf oktober 2024. Vanaf dan is er geen ontkomen meer aan, en dat is volledig in het belang van uw eigen organisatie!

NIS en NIS2

NIS is de afkorting van Network Information Systems en buigt zich over de beveiliging van netwerk informatie systemen.

De doelstellingen zijn:

  • Het risico op hacking drastisch verminderen.
  • De gevolgen van een hacking beperken.
  • Via overleg en samenwerking op Europees niveau de weerbaarheid van de Europese bedrijven verbeteren.

NIS is waarschijnlijk niet nieuw voor u, want er bestaat immers al een Europese NIS richtlijn sinds 2019. 
NIS is toen gevolgd in het kielzog van GDPR.

NIS2 is de nieuwe NIS richtlijn, en belangrijke verbeteringen tov de “oude” NIS richtlijn zijn:

  • Meer sectoren in scope.
  • Verplichte melding van incidenten.
  • Sancties voor bedrijven die NIS2 niet naleven.
  • Meer verantwoordelijkheden én bevoegdheden.
  • Meer uniformiteit in regelgeving tussen de lidstaten (dit was het heikel punt van de NIS richtlijn in 2019).
  • Nauwere samenwerking tussen Europese landen dankzij een Cyber Security Incident Response Team (CSIRT).

Valt uw bedrijf onder NIS2?

Dat kan u beoordelen aan de hand van 3 parameters:

  • Kriticiteit van uw sector.
  • De soort diensten/activiteiten die uw organisatie aanbiedt.
  • Grootte van uw organisatie.

Kritieke sectoren worden onderverdeeld in gewone Kritieke Sectoren en Zeer Kritieke Sectoren.

Tot de Zeer Kritieke Sectoren behoren: Digitale Infrastructuur, Energie, Vervoer (land/zee/lucht), Ruimtevaart, Bank- en Financiewezen, Drinkwater, Afvalwater, Overheid, Gezondheidszorg, Beheer van ICT Diensten en Infrastructuur voor Financiële Markten.

Tot de gewone Kritieke Sectoren behoren: Post- en Koerierdiensten, Afvalstoffenbeheer, Digitale Aanbieders (Telco), Chemie, Productie/Verwerking/Distributie van Voeding/Levensmiddelen, Producenten van Medische Diagnostiek, Informaticaproducten, Elektrische Apparatuur, Machines/Apparaten/Werktuigen, Motorvoertuigen en Andere Transportmiddelen.

Opgelet: Indien uw organisatie niet in de scope van NIS2 valt, maar één van uw klanten wel, dan is die klant verplicht hun leveranciers (waaronder u) te auditen op NIS2 conformiteit van uw diensten naar hen toe!
Gevolg: bijna elke organisatie zal maatregelen moeten nemen.

NIS1

10 basisprincipes

Er zijn 10 Basisprincipes in NIS2 waaraan elke organisatie moet voldoen:

   1)   Organisatie van cyber security binnen de onderneming: een Information Security Policy is verplicht, alsook het aanduiden van een of meer verantwoordelijken en een deugdelijke risico analyse.  

   2)   Incidentenbeheer met strikte meldplicht van incidenten.

   3)   Garantie voor de bedrijfscontinuïteit: hiertoe behoren zowel het beheer van back-ups als de Business Continuity en Disaster Recovery Procedures op zich.

   4)   Leveranciersbeoordeling.

   5)   Beleid inzake de veilige ontwikkeling en het onderhoud van informatiesystemen.

   6)   Monitoren en meten van de efficiëntie van de beveiligingsmaatregelen, inclusief audits.

   7)   Basispraktijken voor cyber hygiëne.

   8)   Beleid inzake cryptografie en encryptie.

   9)   Asset management.

   10)   Toegangsbeheer, zowel fysiek als virtueel met een maximaal gebruik van multifactor authenticatie (MFA). 

Hoe zit het met de timing?

De nieuwe wet treed in werking op 18 oktober 2024.

Vanaf dan krijgen alle organisaties tijd tot eind maart 2025 om zich te registreren. Dit registreren gebeurt bij het Centrum voor Cybersecurity België  (CCB).

Daarna is er tijd tot eind november 2025 om de nodige stappen te zetten richting het basisniveau. Een aantal organisaties zal ook verdere stappen dienen te zetten richting hun finale niveau. Dit tegen april 2027.

Security alert

Hoe verhouden NIS2 en ISO 27001 zich tot elkaar

Hoewel NIS2 een wettelijke verplichting is en ISO 27001 een vrijwillige standaard, zijn er veel overeenkomsten en kunnen ze elkaar versterken.

  • Compliance met NIS2: Bedrijven die al gecertificeerd zijn volgens ISO 27001 hebben een voorsprong bij het voldoen aan de NIS2-verplichtingen, omdat beide sterk gericht zijn op risicomanagement, incidentbeheer en beveiligingsmaatregelen.
  • Verschillen in reikwijdte: NIS2 richt zich specifiek op organisaties in kritieke sectoren, terwijl ISO 27001 voor elk type organisatie relevant kan zijn.
  • Audits en rapportage: Beide vereisen regelmatige audits en het documenteren van incidenten, met NIS2 die striktere rapportageverplichtingen oplegt bij beveiligingsincidenten.
  • Beveiligingsnormen: ISO 27001 biedt een gestructureerd kader voor informatiebeveiliging, wat helpt bij het voldoen aan de bredere eisen van NIS2.

TOP TIP: Met een ISO 27001 certificaat voldoet uw organisatie al automatisch aan de hoogste NIS2 vereisten. 
Bovendien wordt ISO 27001 meer en meer een standaard tendering requirement en biedt het u bovenop de verhoogde informatieveiligheid meteen ook een commercieel voordeel.

NIS2 vereisten of ISO 27001 op een pragmatische manier implementeren?

Vraag een vrijblijvend introgesprek aan om samen de noden en mogelijkheden te bespreken. Of om samen te bepalen tot op welk niveau u in het kader van NIS 2 stappen dient te ondernemen.

ONZE REALISATIES

Mindset van informatieveiligheid bij g4s

Mindset van informatieveiligheid

G4S

De veiligheid van de eigen data en deze van hun klanten is bij de activiteiten  van G4S cruciaal. Om hun processen op het vlak van informatieveiligheid te optimaliseren én om het bijhorende ISO 27001-certificaat te bemachtigen, schakelden ze de expertise van Lumeron in.

Lees meer
Cases Firma X

Usecase overzicht

Firma X

Welke uitdagingen helpt Lumeron oplossen? Ontdek een aantal concrete projectbeschrijvingen van onze klanten. Dit maakt het allemaal nog iets concreter.

Lees meer

INSPIRATIEBLOG

Nieuwe iso 27001 2

Hernieuwde ISO 27001 norm goedgekeurd - ISMS

Informatieveiligheidsmanagement (ISMS - information security management system) is niet meer weg te denken uit onze dagdagelijkse bedrijfsvoering. De recent goedgekeurde ISO 27001:2022 kent verschillende nieuwigheden op vlak van de high level structuur als de annex met technische controles. De inkoppeling en gelijkenis met ISO 9001 blijft mogelijk.

Lees meer
Iso27001

ISO 27001 legt de klemtoon op security management

De ISO 27001-normeisen zijn vrij algemeen omschreven. Dit biedt de mogelijkheid om via een vertaalslag de normvereisten te kneden op maat en de mogelijkheden van het bedrijf. ISO 27001 is op die manier zowel haalbaar voor de kleinste KMO als voor de grootste multinational.

Lees meer
Blog Continu verbeteren is een doe woord

Continu verbeteren is een "DOE"-woord!

Iedereen heeft het begrip "continu verbeteren" zeker al eens gehoord maar waar draait het nu eigenlijk om? Wat wil dat zeggen, "we moeten continu verbeteren"? En is dat wel altijd het geval?

Lees meer