Cyberaanvallen op lokale administraties zoals Antwerpen, Willebroek of Herstelt of bij bedrijven zoals Picanol, Ranson en Miko het zijn maar enkele van de gevallen die we kennen omdat ze de media hebben gehaald.
Ze zijn maar het zichtbare topje van de spreekwoordelijke ijsberg.
On-line criminaliteit viert hoogtij!
Dat is waarom er op politiek vlak steeds meer aandacht komt voor cybersecurity.
Wat is NIS?
NIS is een Europese richtlijn die eenheid en samenhang binnen het Europese beleid rond netwerk- en informatiebeveiliging nastreeft.
De NIS 1.0 richtlijn uit 2016 was een eerste aanzet tot een gezamenlijke cybersecuritystrategie op Europees niveau.
Van elke lidstaat werd verwacht dat ze een nationaal defensieplan opmaakten en strenge cybersecurityregels uitwerkten voor de uitbaters of beheerders van kritische infrastructuren.
In 2016 werden 7 sectoren als “kritisch” geïndetificeerd. (Energie, vervoer, bankwezen, financiële markten, gezondheidszorg, drinkwater en digitale infrastructuur. (cloud & zoekmachines)
Op 27 december 2022 werd de NIS 2.0 richtlijn gepubliceerd.
NIS 2.0 kwam tot stand na 2 jaar van parlementair werk.
De nieuwe richtlijn bereidt de reikwijdte van het toepassingsgebied uit en geeft concreter vorm aan wat een goede cybersecuritystrategie inhoudt.
Wie valt onder NIS 2.0?
Daar waar in 2016 nog een beperkte lijst bestond met “kritische infrastructuur” (7 sectoren) wordt de lijst met kritische sectoren aangevuld tot 11 sectoren en wordt er een nieuwe categorie “belangrijke bedrijven” toegevoegd.
Zo valt voortaan ook de overheid zelf onder de categorie “kritische sectoren”.
Bedrijven onder de categorie “Kritische sectoren en -infrastructuur” voldoen altijd ongeacht hun omvang.
Volgende sectoren worden als “Belangrijk” aangemerkt mits ze aan bepaalde omzet (>10 mio EUR omzet) of personeelsciteria (>50 medewerkers) voldoen:
Wat wordt er verwacht?
De richtlijn werkt op 3 pijlers:
– Zorgplicht
– Meldplicht
– Toezicht
Ook de invulling van de richtlijn wordt concreter.
Zo moeten organisaties die onder de richtlijn vallen:
– een cybersecurityplan uitwerken
– medewerkers trainen
– het plan geregeld testen en opvolgen
– melding maken van incidenten in hun beveiliging binnen de 24u/72u
– nazicht cybersecurityplan toelaten
– audit organiseren
– inspectie toelate
Sanctioneringsbeleid
Met betrekking tot het sanctioneringsbeleid heeft men gekozen voor een menselijke aanpak.
Zo zijn de sancties gradueel opgebouwd.
– Waarschuwing
– Verplichting om de tekortkoming te verhelpen
– Boete die kan oplopen tot 2% van de wereldwijde omzet
Timing
Hoe dit alles er concreet komt uit te zien mogen de lidstaten zelf bepalen in de komende 21 maanden.
Tegen uiterlijk 17 oktober 2024 moet het wetgevende werk rond zijn.
De verwachting is dat de betrokken organisaties aan de zorg- en meldplicht zullen moeten voldoen in de loop van 2025.
Het is uiteraard niet de bedoeling om passief te wachten tot 2025 om te starten met het nemen van de nodige beveiligingsmaatregelen tegen cyberbedreigingen.
CISA zal u verder blijven informeren over de verdere evolutie rond deze regelgeving.
Vragen over NIS 2.0?
CISA volgt de evoluties rond NIS 2.0 op de voet en zal voor haar betrokken klanten in het nodige advies en hulpmiddelen voorzien zodat je als organisatie de juiste acties neemt op de juiste momenten.
