‘NIS2 is NIS1 on steroids’, aldus de Europese Commissarissen
De Belgische NIS2-wet is een feit. Zopas zette het federale parlement de Europese regelgeving daarover om in een wet. Zowat tweeduizend Belgische bedrijven en instellingen krijgen strengere normen voor cyberveiligheid. Met mogelijk miljoenenboetes tot gevolg. Maar wanneer treedt NIS2 in werking?
De Belgische wet zet de zogenaamde Europese NIS2-richtlijn van december 2022 om in Belgisch recht. Hij vervangt de wet van april 2019 die (logischerwijs) de benaming NIS1-wet had gekregen.
Want bedrijven actief in energie, drinkwater, vervoer, financiën, gezondheidszorg, en digitale infrastructuur moeten zich vandaag al aan een aantal cyberveiligheidsregels houden. Zij worden namelijk als essentieel aanzien voor de economie en de nationale veiligheid.
Wie valt er onder NIS2?
De nieuwe NIS2-wet gaat een stapje verder. ‘NIS2 is NIS1 on steroids’, zo omschreven de Europese Commissarissen toen ze het initiatief lanceerden. Zo wordt het aantal essentiële sectoren uitgebreid. Zo zullen onder andere overheidsinstellingen, post- en koeriersdiensten, voedingsbedrijven, afvalwater, onderzoeksinstellingen en chemiespelers zich moeten houden aan de richtlijn. Ook leveranciers van digitale diensten vallen onder de nieuwe richtlijn. Belangrijk is dat ook de toeleveranciers aan die bedrijven onder NIS2 kunnen vallen.
De NIS2-richtlijn voegt nieuwe sectoren toe, maar ook binnen bestaande sectoren komen er types entiteiten bij. De sectoren worden in twee groepen verdeeld: zeer kritieke sectoren en andere kritieke sectoren.
De nieuwe Europese richtlijn breidt het aantal bedrijven dat aan die regels moet voldoen, hiermee fors uit. Zo moeten namelijk alle instellingen en bedrijven, uit die kritieke sectoren, zich schikken naar de wetgeving als ze een grote of middelgrote onderneming is. Het gaat dan om meer dan 50 werknemers en een jaaromzet van meer dan 10 miljoen euro zich aanpassen aan NIS2. Werkgeversorganisatie VBO heeft het in De Tijd over 2.000 Belgische ondernemingen die er voorwerp van zijn. Op de site van het CCB krijgt u een overzicht van iedereen die in aanmerking komt.
Wat met boetes?
Het Belgische Centrum voor Cybersecurity (CCB) kan via audits en onaangekondigde veiligheidsscans nagaan of iedereen de regels volgt en kan ook aanbevelingen doen. Wie die naast zich neerlegt, riskeert zware boetes. Voor grotere ondernemingen met minstens 250 werknemers of een jaaromzet van minstens 50 miljoen euro gaat het om minstens 2 procent van de wereldwijde jaaromzet, met een maximum van 10 miljoen euro. Voor kleinere bedrijven is dat minstens 1,4 procent van de jaaromzet met een maximum van 7 miljoen euro.
Het verschil tussen essentiële en belangrijke entiteiten zit vooral in de strengheid van het toezicht en de sancties. Essentiële entiteiten zullen strenger gecontroleerd en gesanctioneerd worden dan belangrijke entiteiten.
Kunnen ceo’s persoonlijk aansprakelijk worden gesteld?
Zeker en vast. De nieuwe NIS2-wet heeft flink wat gevolgen voor managers en bestuurders van de bedrijven die onder NIS2 vallen. Zij zijn onder meer verplicht om een opleiding te volgen om cyberrisico’s in te schatten. Verder moeten ze alle maatregelen goedkeuren om het bedrijf beter tegen aanvallen te beschermen en weerbaarder te maken. Managers en bestuurders zijn dus sowieso en bij wet betrokken partij.
Ook hier kunnen de gevolgen behoorlijk groot zijn. Managers en bestuurders die zich niet aan de regels houden, kunnen daar persoonlijk voor aansprakelijk worden gesteld. Daardoor dreigen zij een vergoeding voor de geleden schade te betalen. Tot zelfs het risico op een tijdelijk beroepsverbod.
Wat is de timing?
De NIS2-wet werd gecoördineerd door het Centrum voor Cybersecurity België (CCB) en het kabinet van de Eerste Minister. ‘Het is een belangrijke stap om van België een van de minst cyberkwetsbare landen ter wereld te maken’, klinkt het bij het CCB. De wet zal in de toekomst worden aangevuld met een koninklijk besluit, dat in de komende weken wordt verwacht.
Op 18 oktober 2024 treedt de NIS2-wet en -richtlijn van kracht. Vanaf dan zitten we in de fase van de uitvoering.
Beste meneer Visterin,
De link naar de CCB website is outdated. The nieuwe link voor infos over NIS2 is https://ccb.belgium.be/nl/nis2 (of https://atwork.safeonweb.be/nl/nis2).
Misschien kunt u het in uw artikel vervangen.
Bedankt, link vervangen. Redactie Computable