NIS2 Wetgeving – Management persoonlijk verantwoordelijk & hoofdelijk aansprakelijk voor IT-security van hun organisatie

31 augustus 2023 | IT-Security, NIS2

Ben je al bekend met NIS2? De nieuwe regelgeving die een grote impact zal hebben op de cybersecurity van jouw bedrijf. In deze blog leggen we je uit wat NIS2 precies is, waarom het belangrijk is en hoe je je bedrijf kunt voorbereiden.
Distressed middle eastern businessman looking at notebook screen, unbuttoning shirt

Dit artikel werd op vrijdag 23 augustus 2024 up-to-date gebracht.

Wat is NIS2?

NIS2, of de Network and Information Security 2, is een nieuwe regelgeving voor cybersecurity en informatiesystemen die door Europa wordt afgedwongen. Het is een herziening van het bestaande Europese kader voor de beveiliging van netwerk- en informatiesystemen.

Deze nieuwe regelgeving legt de basis voor Europa’s inspanningen op het gebied van cyberbeveiliging in de komende jaren.

Persoonlijke gevolgen voor het management bij niet-naleving van NIS2

De NIS2-richtlijn gaat verder dan alleen het opleggen van boetes aan bedrijven. De verantwoordelijkheid om te voldoen aan de strenge eisen van NIS2? Die ligt nu rechtstreeks bij het management. Managementteams worden nu ook persoonlijk aansprakelijk gesteld voor het niet naleven van de richtlijn. Niemand kan dus nog doen alsof hun neus bloedt wanneer het op IT aankomt.

Als bestuurders en leidinggevenden er niet in slagen om de nodige maatregelen te treffen, kunnen ze te maken krijgen met ernstige juridische gevolgen.

Een van de meest ingrijpende gevolgen is de mogelijkheid op een tijdelijk verbod op het uitoefenen van leidinggevende functies. Dit betekent dat bestuurders hun positie kunnen verliezen als blijkt dat ze nalatig zijn geweest in hun verplichtingen onder NIS2. Iets wat een aanzienlijke impact kan hebben op hun carrière en reputatie.

Verplichting tot opleiding en risicobeoordeling

Om aan de eisen van NIS2 te voldoen, moet het management hun vermogen om cyberbeveiligingsrisico’s in te schatten en te beheren actief verbeteren. Dit houdt in dat bestuurders verplicht zijn om cursussen te volgen die hen in staat stellen om beter om te gaan met de complexe cybersecurity-uitdagingen waarmee hun organisatie geconfronteerd kan worden.

Daarnaast is het de taak van het management om hun organisatie aan te moedigen om soortgelijke cursussen en opleidingen aan te bieden aan alle werknemers. Door het hele bedrijf bewust te maken van de risico’s, en hen de tools te geven om er mee om te gaan, draagt het management bij aan een veiligere en weerbaardere organisatie.

Wanneer is de deadline voor NIS2?

De deadline in België komt er snel aan: uiterlijk op 17 oktober 2024 wordt de NIS2-richtlijn omgezet in de nationale wetgeving, en moeten organisaties die binnen het kader vallen eraan voldoen.

Waarom voert Europa NIS2 in?

De introductie van NIS2 door de Europese Unie komt als reactie op het snel evoluerende digitale landschap en de toenemende cyberdreigingen die daarmee gepaard gaan. In de afgelopen jaren zagen we een enorme toename van cyberaanvallen, gaande van datalekken tot ransomware-aanvallen.

Deze aanvallen hebben niet alleen grote financiële gevolgen, maar kunnen ook ernstige verstoringen veroorzaken in de vitale infrastructuur en diensten waar we allemaal van afhankelijk zijn. Met de NIS2 wil de EU een uniforme en robuuste cybersecurity-omgeving creëren om deze dreigingen het hoofd te bieden.

Het doel is om de weerbaarheid en veerkracht van netwerk- en informatiesystemen in heel Europa te versterken, en zo de digitale interne markt te beschermen en te bevorderen.

Welke bedrijven vallen er onder NIS2?

NIS2 breidt de reikwijdte van de vorige regelgeving, NIS1, aanzienlijk uit. Naast essentiële bedrijven uit de hoogkritieke sectoren, vallen nu ook belangrijke bedrijven binnen de kritieke sectoren onder NIS2.

Essentiële bedrijven zijn grote bedrijven die binnen hoogkritieke sectoren vallen zoals:

  • Energie
  • Vervoer & transport
  • Banking & financiële markten
  • Gezondheidssector
  • Drinkwater
  • Afvalwater
  • Digitale infrastructuur & managed IT providers
  • Overheden
  • Ruimtevaart

Onder belangrijke bedrijven verstaan we:

  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Chemische productie & distributie
  • Productie & distributie van levensmiddelen
  • Manufacturing
  • Digitale aanbieders
  • Onderzoeksinstanties

Als bedrijf ben je zelf verplicht om na te gaan of je onder de NIS2-regelgeving valt. Het gaat voornamelijk over middelgrote en grote bedrijven die:

  • 50 of meer medewerkers hebben;
  • Of een balanstotaal van 10 miljoen of meer

Dat neemt natuurlijk niet weg dat een goed IT-security plan ook voor kleine, en zelfs micro- , ondernemingen interessant is.

Wat betekent dit voor jouw bedrijf?

Net als bij de GDPR voor gegevensbescherming, vereist NIS2 dat bedrijven een specifiek cyberbeveiligingsbeleid implementeren. Dit beleid zal onder andere een risicoanalyse, incidentbehandelingsprocedures, het nemen van mitigerende maatregelen en bedrijfscontinuïteitsplannen in lijn met de vastgestelde risico’s omvatten.

Ook training en bewustwording van het personeel zijn een noodzakelijk onderdeel. Bovendien geldt er een meldingsplicht voor beveiligingsincidenten.

Wat zijn de gevolgen als je niet voldoet aan NIS2?

NIS2 heeft een dwingender karakter dan NIS1, de voorgaande wetgeving. Er wordt actief gehandhaafd door regelgevers en autoriteiten om te controleren of organisaties aan de zorgplicht voldoen.

Essentiële bedrijven riskeren boetes tot 10 miljoen euro, of 2% van hun totale wereldwijde jaaromzet in het afgelopen boekjaar.

Belangrijke bedrijven kijken op tegen boetes tot 7 miljoen euro, of 1,4% van hun totale wereldwijde jaaromzet in het afgelopen boekjaar.

Bovendien maakt de NIS2 wetgeving directieleden ook persoonlijk aansprakelijk als ze zich nalatig gedragen met hun cybersecurity.

Waarom zou je nu al actie ondernemen?

Hoewel de omzetting van NIS2 in nationale wetgeving pas in 2024 wordt verwacht, is het belangrijk om nu al actie te ondernemen. Cybersecurity is een essentieel onderdeel van elk bedrijf, en met de toenemende dreigingen zoals gehackte websites en phishing, is het belangrijk om voorbereid te zijn.

Door nu al te investeren in cybersecurity, zorg je ervoor dat jouw bedrijf klaar is voor de toekomst en voldoet aan de nieuwe regelgeving.

Een eerste stap in het verbeteren van je cybersecurity is een grondige IT Security Audit, alsook het monitoren van jouw IT-omgeving. Hiermee breng je alle sterktes, zwaktes, opportuniteiten en dreigingen van jouw organisatie in kaart op vlak van IT. Dat resulteert in een praktisch actieplan met verbeterpunten die jouw onderneming veiliger maken.

Wat moet je nu onthouden over NIS2?

NIS2 is een belangrijke stap in de richting van een veiliger digitaal Europa. Hoewel het misschien wat overweldigend lijkt, is het belangrijk om te onthouden dat deze nieuwe regelgeving er is om ons allemaal te beschermen. En onthoud, bij 4 Business Software staan we altijd klaar om je te helpen met al je IT- en cybersecurity needs!

Zo nodigden we op ons 4BS klantenevent eind 2022 The Security Factory uit. Zij toonden op een heel praktische manier voorbeelden gaven van recente hacks binnen het Belgische bedrijfsleven, en gaven een demo over hoe ‘hacking’ precies in z’n werk gaat.

Trek in meer leesvoer?

Waarom mag je updates eigenlijk niet uitstellen? (Hoe irritant ze ook kunnen zijn)

Waarom mag je updates eigenlijk niet uitstellen? (Hoe irritant ze ook kunnen zijn)

Wees virussen en malware een stapje voor met EDR (Endpoint Detection & Response)

Wees virussen en malware een stapje voor met EDR (Endpoint Detection & Response)

Wat is Remote Monitoring and Management (RMM)? En wat kan een KMO ermee?

Wat is Remote Monitoring and Management (RMM)? En wat kan een KMO ermee?

Hoe weet je of jouw bedrijf aan de NIS2 moet voldoen? Doe de NIS2 QuickScan

Hoe weet je of jouw bedrijf aan de NIS2 moet voldoen? Doe de NIS2 QuickScan

Dit vind je misschien ook interessant