Wat is de NIS2-richtlijn?
NIS2 staat voor Network and Information Security Directive 2 — de opvolger van de oorspronkelijke NIS-richtlijn uit 2016. De Europese Unie heeft deze richtlijn uitgevaardigd om de cybersecurity van organisaties in kritieke en belangrijke sectoren te versterken.
In België is NIS2 omgezet in nationale wetgeving via de wet van 26 april 2024. Dit betekent dat Belgische organisaties die onder het toepassingsgebied vallen, concrete verplichtingen hebben op het vlak van risicobeheer, incidentrapportage en beveiliging van hun systemen.
Wie valt onder NIS2?
NIS2 breidt het toepassingsgebied aanzienlijk uit ten opzichte van NIS1. De richtlijn onderscheidt twee categorieën:
- Essentiële entiteiten: energie, transport, water, financiën, gezondheidszorg, digitale infrastructuur
- Belangrijke entiteiten: post, afvalbeheer, chemie, voeding, maakindustrie, digitale aanbieders
Voor KMO's is de drempel: organisaties met meer dan 50 werknemers of een jaaromzet van meer dan €10 miljoen in de betrokken sectoren kunnen onder NIS2 vallen. Maar ook kleinere organisaties in de toeleveringsketen van getroffen bedrijven kunnen indirect verplichtingen krijgen.
"NIS2 is geen ver-van-uw-bed-show meer. Veel Belgische KMO's zijn getroffen — ook al weten ze het nog niet."
Welke verplichtingen vloeien voort uit NIS2?
Getroffen organisaties moeten onder meer:
- Een risicoanalyse uitvoeren en documenteren
- Passende technische en organisatorische beveiligingsmaatregelen nemen
- Een Incident Response Plan hebben
- Incidenten met significante impact melden binnen 24 uur (eerste melding) en 72 uur (gedetailleerde melding)
- De beveiliging van de toeleveringsketen beheren
- Beveiliging van personeel en toegangsbeheer borgen
Wat zijn de sancties?
NIS2 voorziet in aanzienlijke boetes. Essentiële entiteiten riskeren tot €10 miljoen of 2% van de wereldwijde jaaromzet. Belangrijke entiteiten riskeren tot €7 miljoen of 1,4% van de omzet.
Maar naast financiële sancties kan ook de reputatieschade bij een incident — én bij het niet kunnen aantonen van compliance — enorm zijn.
Welke eerste stappen zet u vandaag?
Weet u niet zeker of uw organisatie onder NIS2 valt? Begin met deze stappen:
- Controleer of uw sector en omvang u onder NIS2 plaatsen
- Voer een nulmeting uit: waar staan we vandaag?
- Maak een prioriteitenlijst van maatregelen
- Werk een basisbeleid voor informatiebeveiliging uit
- Overweeg externe ondersteuning via een CISO as a Service
NetGuard begeleidt KMO's van nulmeting tot compliance. Neem contact op voor een vrijblijvend gesprek.
Gerelateerde artikelen
Wat is External Attack Surface Management en waarom heeft uw KMO het nodig?
Aanvallers scannen het internet voortdurend op kwetsbare systemen. EASM helpt u te weten wat zij zien — voordat ze toeslaan.
5 redenen waarom een pentest meer is dan een technische oefening
Veel bedrijven zien een penetratietest als een IT-project. Maar de échte waarde zit in de inzichten voor het management. Hier zijn 5 redenen waarom.