Misschien hoorde je de term NIS2 al eens vallen, maar heb je geen idee wat het is en of het voor jouw bedrijf van belang is. In deze blog leggen we je graag in mensentaal uit waar het over gaat, zodat jij beter kan inschatten of je hulp moet inschakelen en of je dit (voorlopig) helemaal aan je mag laten voorbijgaan.
Wat is NIS2?
Laten we beginnen bij het begin. NIS staat voor Network en Information Systems Directive, oftewel een geheel aan regelgeving die als doel heeft de cyberbeveiliging binnen Europa te bewaken. De recente problemen bij CrowdStrike waren niet het gevolg van een cyberaanval, maar ze lieten wel zien wat de gevolgen zijn als het echt fout gaat.
Er bestond al een eerste versie van de NIS, maar nu het aantal digitale aanvallen een vlucht neemt, heeft Europa beslist om de regelgeving verder aan te scherpen. Deze regels werden vervolgens vertaald naar Belgische wetgeving.
Voor wie is NIS2 van toepassing?
Deze regelgeving richt zich in eerste instantie naar bedrijven die werkzaam zijn in één van de 18 kritische sectoren. Denk daarbij aan energie, gezondheidszorg, overheidsdiensten, afvalwaterbehandeling en chemische industrie bijvoorbeeld. Zie de afbeelding hieronder voor het volledige overzicht.
Organisaties binnen deze sectoren met minimaal 50 FTE’s en/of een jaaromzet van ten minst 10 miljoen euro vallen sowieso onder de richtlijnen. Er bestaan een aantal uitzonderingen, die kan je terugvinden op de website van het Centrum voor Cybersecurity
Val je zelf niet onder de NIS2 regelgeving maar maak je wel deel uit van de toeleveringsketen van een NIS2-bedrijf? Dan worden er waarschijnlijk ook extra inspanningen van jouw bedrijf gevraagd op het vlak van cybersecurity. Lees gerust verder via de website van het CCB voor meer informatie.
En ook als je niet verplicht aan deze regels moet voldoen, dan nog zijn ze zeker aan te raden als leidraad voor wie cyberveiligheid serieus neemt.
Verplichtingen vanaf oktober 2024
Deze nieuwe Belgische wet zal ingaan op 18 oktober 2024.
Val je onder de NIS2 regelgeving? Dan moet je je registreren bij het Centrum voor Cybersecurity. Dat is ook de instantie waar je de ontdekking van een significant incident moet melden binnen de 24 uur na de vaststelling.
Er moeten passende en proportionele maatregelen genomen worden op ten minste 11 verschillende punten. Die omvatten voor een deel voldoende maatregelen op het vlak van cyberbeveiliging (denk aan back-ups, endpoint-protectie, tweestapsverificatie, encryptie, …) en daarnaast beleidsmaatregelen op verschillende vlakken. Je vindt het overzicht van het centrum voor cyberveiligheid hieronder.
Het CCB voorziet trouwens ook een kader om je hierbij te ondersteunen, de CyberFundamentals. Dit kader is een hulpmiddel om te voldoen aan je verplichtingen. Er is aanvullend ook een toolbox beschikbaar met alle middelen om te voldoen aan het CyberFundamentals Framework.
Hoe bereid je je voor?
De NIS2 regelgeving is complex. Wat betekent dat je de voorbereiding best niet uitstelt tot begin oktober.
Om te beginnen raden we aan om je te verdiepen in de wetgeving. Valt jouw bedrijf onder de NIS2 regels? Of zou je bepaalde vragen kunnen krijgen als leverancier van een NIS2-bedrijf? Zorg dat je goed weet of deze wet op jouw bedrijf van toepassing is en wat het precies betekent.
Dit is ook het ideale moment om een audit te doen van je huidige beveiliging. Waar sta je nu? Welke maatregelen zijn geïmplementeerd en is dat in verhouding met het risico dat je op dit moment loopt?
Je hoeft dit alles niet alleen te doen. We vertelden je al dat het complexe materie is. Heb je geen interne experten die dit alles voor jou kunnen opnemen, dan is het slim om de hulp van cybersecurity experten in te roepen.
Als uit je onderzoek blijkt dat er aanpassingen nodig zijn, dan kan je alvast een plan opmaken. Lijst op wat nodig is om aan de wetgeving te voldoen, hoe je dat gaat doen, welke tijd je daarvoor nodig hebt en wie verantwoordelijk is voor de uitvoering van de acties. Informeer daarnaast ook je medewerkers, neem ze mee in het hele proces, zodat ze begrijpen waarom hun manier van werken moet worden aangepast bijvoorbeeld. En zodat ze weten wat ze moeten doen in het geval van een cyberaanval. Dat laatste zou sowieso standaard moeten zijn in elk bedrijf.
Hulp nodig?
We zijn al 30 jaar actief als IT-partner voor KMO’s. Dus ook bij deze nieuwe stap helpen we je graag op weg. Voor de nodige technische beveiliging hebben we zelf de expertise in huis, voor de beleidsmaatregelen werken we samen met een partner die hierin gespecialiseerd is.
Voel je vrij om een gratis strategiegesprek in te boeken.
we beantwoorden graag al jouw vragen en horen graag of en hoe we jou kunnen helpen 👌
Wens je meer te weten te komen over onze aanpak? Neem dan gerust vrijblijvend contact om voor een gratis strategie gesprek. Neddine ICT Solutions heeft 30 jaar ervaring, Waarvan 20 jaar als MSP (Managed Service Provider) in het bijstaan van branches van multinationale ondernemingen, KMO’s. Dit met een ruime klantenbasis in diverse sectoren zoals Biotechnologie, Transportsector, dienstensector, productie-industrie, …
Onze klanten kunnen bij ons terecht voor een totaal service gaande van het uittekenen va de ICT- infrastructuuroplossing, het bouwen (we leveren dus ook al de nodige hard- en software) en onderhouden ervan. Voor de dagdagelijkse ondersteuning kunnen de gebruikers steeds terecht bij ons ervaren Service Desk Team.
Onze slogan is niet voor niets: “Ervaar de kracht van service”
Comentários