Het aantal cyberaanvallen en -incidenten kent de laatste jaren een flinke stijging. Bovendien worden hackers alsmaar creatiever, waarbij ze ondernemingen bedreigen met ransomware, datalekken, phishing, CEO-fraude of meldingen op het dark web.
Om dit verontrustend fenomeen aan te pakken en Europese lidstaten digitaal en economisch weerbaarder te maken, maakte de Europese Unie werk van de nieuwe NIS2-richtlijn. Deze regelgeving is de opvolger van de NIS1-richtlijn die in 2016 werd goedgekeurd. NIS staat voor Network and Information Security Directive.
NIS1 versus NIS2
Bij NIS1 ? die op 7 april 2019 in een Belgische NIS-wet werd omgezet ? moesten bedrijven in specifieke sectoren (de zogenaamde ?essentiële bedrijven?) minimale veiligheidsmaatregelen nemen en ernstige cyberincidenten melden. NIS2 legt de lat een pak hoger, met meer bedrijven die actie zullen moeten ondernemen om zich te wapenen tegen ongewenste digitale bezoekers.
De Europese NIS2-richtlijn is sinds 16 januari 2023 van kracht voor alle lidstaten binnen de Europese Unie. Alle lidstaten, inclusief België, moeten deze richtlijn omzetten in een wet tegen 17 oktober 2024.
Hoe bereid je je als onderneming goed voor op een eventuele NIS2-implementatie?
Bewustmaking
Ten eerste is bewustmaking essentieel. U zal moeten investeren in uitgebreide trainingen voor werknemers op alle niveaus om hen bewust te maken van de mogelijke cyberdreigingen en de vereisten van NIS2. Dit omvat het herkennen van phishing-aanvallen, het veilig omgaan met gevoelige informatie en het begrijpen van de rol die elk individu speelt in het waarborgen van cyberveiligheid.
Risicobeheer
Risicobeheer is een andere cruciale pijler als voorbereiding op NIS2. Uw onderneming moet een grondige risicoanalyse uitvoeren om kwetsbaarheden in het netwerk en informatiesystemen te identificeren. Op basis hiervan moet u passende beveiligingsmaatregelen implementeren om deze risico’s te verminderen of te elimineren. Dit omvat het regelmatig bijwerken van software, het implementeren van sterke toegangscontroles en het monitoren van netwerkactiviteiten.
Rapporteren aan autoriteiten
Het rapporteren aan autoriteiten is verplicht onder NIS2. Bedrijven moeten procedures ontwikkelen om incidenten te detecteren, te registreren en te melden aan de relevante autoriteiten binnen de vastgestelde termijnen. Dit vereist een duidelijk begrip van de meldingsvereisten en een effectief incidentresponsplan.
Bedrijfscontinuïteit
Bedrijfscontinuïteit is van vitaal belang om de impact van cyberaanvallen te minimaliseren. Uw onderneming moet robuuste back-up- en herstelplannen opstellen om operationele verstoringen te beperken en snel te herstellen van incidenten. Dit omvat het regelmatig testen van de herstelprocedures en het updaten van de plannen om te voldoen aan veranderende bedreigingen en bedrijfsomgevingen.
Leveranciers
Tot slot is samenwerking met leveranciers essentieel. Investeer in beveiligingsmaatregelen om uw leveranciers te evalueren en contractuele afspraken te maken, zodat u ervoor zorgt dat zij voldoen aan de NIS2-vereisten. Dit omvat het definiëren van verantwoordelijkheden en het regelmatig evalueren van de naleving van leveranciers.
Sancties vermijden
Als na controle zou blijken dat deze regels niet correct toegepast of nageleefd worden, dan kan het Centrum voor Cybersecurity België (CCB) sancties opleggen.
Voor essentiële entiteiten kan het CCB administratieve geldboetes opleggen tot maximum 10 miljoen euro of ten minste 2% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
Voor belangrijke entiteiten kan de geldboete oplopen tot maximum 7 miljoen euro of ten minste 1,4% van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
Rekening houdend met de snel naderende NIS2-deadline en bijhorende actiepunten, is het een verstandige zet om actie te ondernemen voor een succesvolle implementatie van de NIS2-actiepunten.