Op 18 oktober 2024 trad de Wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (de “NIS2-wet”) in werking. Met de NIS2-wet neemt het aantal bedrijven in België dat verplicht is cyberbeveiligingsmaatregelen te nemen, exponentieel toe. De categorieën en sectoren die onder de regelgeving vallen worden sterk uitgebreid. Daarnaast dienen bedrijven die onder het toepassingsgebied vallen, toe te zien op de cyberveiligheid van hun supply chain. Gevolg: zelfs wanneer uw organisatie niet onder het toepassingsgebied van de NIS2-wet valt, kan ze gehouden zijn om (bijkomende) cyberbeveiligingsmaatregelen te nemen. De NIS2-wet voorziet daarnaast in een nieuwe bestuurdersaansprakelijkheid. Voldoet uw onderneming niet aan de verplichtingen? Dan kan u daarvoor als bestuurder persoonlijk aansprakelijk worden gesteld. Het is dan ook noodzakelijk dat niet alleen de ondernemingen maar ook de bestuursorganen zich bewust zijn van deze nieuwe regels en de maatregelen die moeten worden getroffen.
Van NIS1 naar NIS2
De NIS2-wet betreft een omzetting van de Europese Richtlijn (EU) 2022/255 van 14 december 2022 (de “NIS2-richtlijn”). Deze richtlijn is een update van een vorige Europese Richtlijn 2016/1148/EU (de “NIS1-richtlijn”), in België omgezet in de Wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerken en informatiesystemen van algemeen belang voor de openbare veiligheid (de “NIS1-wet”). De NIS2-wet zal dus vanaf 18 oktober 2024 de NIS1-wet vervangen.
Toepassingsgebied
Een onderneming zal binnen het toepassingsbied van de NIS2-wet vallen indien voldaan is aan de volgende drie criteria:
- De entiteit moet in België gevestigd zijn. Het kan zowel gaan om publieke als private entiteiten.
- Er worden diensten verleend of activiteiten uitgeoefend binnen de EU die vallen binnen één van de sectoren zoals voorzien in de twee bijlagen van de NIS2-wet.
- De entiteit moet een bepaalde omvang hebben: minimum 50 personeelsleden of een jaaromzet (of balanstotaal) van meer dan 10 miljoen Euro.
Opgepast: hierop bestaan een aantal uitzonderingen, waaronder:
- Een aantal entiteiten die niet in België gevestigd zijn, vallen toch onder het toepassingsgebied. Het gaat bijvoorbeeld over aanbieders van openbare elektronische communicatienetwerken of -diensten die deze in België aanbieden.
- Een aantal entiteiten vallen toch onder het toepassingsgebied van de NIS2-wet, ongeacht hun omvang. Het gaat bijvoorbeeld over DNS-serviceproviders, aanbieders van openbare elektronische communicatienetwerken of -diensten en entiteiten die wettelijk werden aangemerkt als exploitanten van kritieke infrastructuur.
- Verder heeft het Centrum voor Cybersecurity (“CCB”) de bevoegdheid om specifieke entiteiten alsnog te kwalificeren als “belangrijke” of “essentiële” entiteit. Bijvoorbeeld wanneer een bepaalde onderneming een monopolie heeft of wanneer de verstoring van de geleverde diensten een significant effect zou kunnen hebben op de openbare veiligheid, de openbare beveiliging of de volksgezondheid.
Tot slot zijn entiteiten die onder het toepassingsgebied van de NIS2-wet vallen, verplicht om de beveiliging van hun supply chain te verzekeren. Een onderneming die zelf niet onder het toepassingsgebied van de NIS2-wet valt, maar zich wel in de toeleveringsketen van een NIS2-entiteit bevindt, zal in haar contractuele relatie met die NIS2-entiteit toch gehouden kunnen worden om de cyberveiligheidsmaatregelen uit de NIS2-wet na te leven.
Verplichtingen opgelegd door NIS2
Onderscheid tussen “belangrijke” en “essentiële” entiteiten.
In de wetgeving wordt een onderscheid gemaakt tussen “essentiële” en “belangrijke” entiteiten. Behoudens een aantal uitzonderingen wordt dit onderscheid bepaald door de omvang en door de dienst die de entiteit verleent. Het verschil tussen “essentiële” en “belangrijke” entiteiten is niet van belang voor het toepassingsgebied van de wet, maar houdt verband met hoe streng een entiteit wordt gecontroleerd en gesanctioneerd.
Registratie bij het CCB
Entiteiten die na analyse van de toepassingsvoorwaarden onder de NIS2-wet vallen, dienen zich verplicht te registreren bij het Centrum voor Cybersecurity. Voor de meeste entiteiten dient deze registratie uiterlijk op 18 maart 2025 voltooid te zijn. Bepaalde entiteiten die digitale diensten verlenen moeten zich evenwel reeds geregistreerd hebben tegen 18 december 2024. De registratie moet ook ten alle tijden up-to-date worden gehouden.
Cyberbeveiligingsmaatregelen
Entiteiten moeten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen die zij gebruiken te beheren en om incidenten te voorkomen of de gevolgen ervan te beperken. De concrete maatregelen moeten worden afgestemd op de specifieke situatie van de betrokken ondernemingen.
In de NIS2-wet zijn 11 minimummaatregelen opgenomen die men als onderneming moet nemen. Zo moet een onderneming voorzien in een beleid inzake risicoanalyse en beveiliging van informatiesystemen, moeten er interne opleidingen worden georganiseerd op het gebied van cyberbeveiliging en moeten er maatregelen genomen worden ter beveiliging van de supply chain. Wanneer een onderneming met cyberincidenten wordt geconfronteerd (bv. wanneer men het slachtoffer wordt van een ransomware-aanval), is deze bovendien verplicht om onverwijld, en in elk geval binnen 24u, melding te doen van dergelijke significante incidenten.
Deze cyberbeveiligingsmaatregelen zijn zowel op “essentiële” als op “belangrijke” entiteiten van toepassing. Het verschil is de mate van toezicht op het naleven van de regels:
- “Essentiële” entiteiten moeten namelijk verplicht regelmatige conformiteitsbeoordelingen ondergaan. Het CBB zal gradueel starten met controles, afhankelijk van het door de entiteiten gekozen traject voor de regelmatige conformiteitsbeoordeling.
- Voor “belangrijke” entiteiten zal een controle in principe enkel gebeuren na een incident of bij aanwijzingen dat de entiteit de verplichtingen niet naleeft.
Bijzondere gevallen van bestuurdersaansprakelijkheid
De NIS2-wet introduceert nieuwe bijzondere gevallen van bestuurdersaansprakelijkheid. Zo moet het bestuursorgaan van een NIS2-entiteit de maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren en toezicht houden op de uitvoering ervan. Als de entiteit haar verplichtingen met betrekking tot risicobeheersmaatregelen niet nakomt, kunnen de leden van bestuursorgaan (persoonlijk) aansprakelijk worden gesteld.
De leden van de bestuursorganen zijn ook verplicht om opleidingen te volgen in het kader van cybersecurity. De bestuursorganen van een onderneming dienen immers over voldoende kennis en vaardigheden te beschikken om de risico’s binnen hun onderneming te kunnen identificeren en maatregelen voor het beheer van cyberbeveiligingsrisico's en de impact ervan op de activiteiten van de onderneming te beoordelen.
Sancties
De niet- naleving van de NIS2-wet kan gesanctioneerd worden met diverse administratieve maatregelen, gaande van waarschuwingen tot administratieve geldboetes.
Deze boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet afhankelijk van welk bedrag het hoogste is.
Aanbevelingen
Gezien het verruimde toepassingsgebied en de mogelijke financiële sancties, doet u er als onderneming goed aan om na te gaan of u onder de NIS2-wet valt. Bij positief antwoord zal u een analyse dienen te maken om te bepalen welke maatregelen al genomen werden en welke maatregelen nog moeten worden genomen en deze uitwerken in een plan van aanpak.
U zal ook moeten voorzien in de nodige opleidingen rond cyberveiligheid binnen uw onderneming.
Verder is het aanbevolen om uw verzekeringspolissen en contracten met leveranciers en/of afnemers na te kijken en eventueel aan te passen.
Ook het management van de onderneming wordt aangeraden om na te gaan of de nieuwe bijzondere gevallen van bestuurdersaansprakelijkheid worden gedekt door haar aansprakelijkheidsverzekering.
Meer weten over de cybersecurity compliance van uw organisatie? Neem dan contact op met ons team.
Gerelateerd nieuws
Hoe kunnen we helpen?
Ontdek onze expertises