NIS2: wat is er nodig om compliant te zijn? - Industrial Automation

NLFR

Platform over productie- en procesautomatisering
NIS2: wat is er nodig om compliant te zijn?
Het doel van de NIS2 wetgeving is het versterken van maatregelen op het gebied van cyberbeveiliging, incidentbeheer en het toezicht op entiteiten die diensten leveren die essentieel zijn voor het in stand houden van kritieke maatschappelijke of economische activiteiten.

NIS2: wat is er nodig om compliant te zijn?

Netwerken en informatiesystemen zijn centrale elementen van onze samenleving geworden. Het aantal, de schaal, het raffinement, de frequentie en de impact van incidenten met deze netwerken en informatiesystemen vormen nu echter aanzienlijke bedreigingen voor de bevolking, het bedrijfsleven en de overheid. Het doel van de NIS2-wetgeving, die ingaat in oktober, is het versterken van maatregelen op het gebied van cyberbeveiliging, incidentbeheer en het toezicht op entiteiten die diensten leveren die essentieel zijn voor het in stand houden van kritieke maatschappelijke of economische activiteiten. Maar wat moeten bedrijven allemaal doen om compliant te zijn?

NIS2-entiteiten die onder het toepassingsgebied van de Belgische NIS2-wet vallen, moeten hun organisatie registreren bij het CCB. In de praktijk zal deze registratie de vorm aannemen van een onlineformulier dat moet worden ingevuld op Safeonweb@Work. De termijn voor registratie hangt af van het soort entiteit. In principe hebben essentiële en belangrijke entiteiten en aanbieders van domeinnaamregistratiediensten vijf maanden vanaf de inwerkingtreding van de wet om zich te registreren. Er is een uitzondering voor entiteiten die deze informatie al hebben doorgegeven aan een NIS2-sectorautoriteit. In dit geval hoeft de informatie alleen te worden bijgewerkt indien nodig. Als de informatie verandert, moeten alle entiteiten het CCB daarvan onmiddellijk op de hoogte stellen. Voor een aantal andere entiteiten (vooral aanbieders uit de telecomsector) bestaat een licht aangepaste regeling. Ze moeten zich registreren binnen twee maanden. 

Maatregelen voor het beheer van cyberbeveiligingsrisico’s

Essentiële en belangrijke entiteiten moeten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen te beheren en om incidenten te voorkomen of de gevolgen van incidenten te beperken. Bovendien moeten de getroffen maatregelen zorgen voor een beveiligingsniveau voor netwerken en informatiesystemen dat in verhouding staat tot het bestaande risico, rekening houdend met de stand van de techniek en, indien van toepassing, de desbetreffende Europese en internationale normen. Bij de beoordeling van de evenredigheid van deze maatregelen moet terdege rekening worden gehouden met de mate waarin de entiteit aan risico’s is blootgesteld, de omvang van de entiteit en de kans dat zich incidenten voordoen en de ernst ervan. In de wet worden elf minimummaatregelen genoemd die elke NIS2-entiteit moet implementeren:

  1. Beleid voor risicoanalyse en beveiliging van informatiesystemen.
  2. Incidentenbehandeling.
  3. Bedrijfscontinuïteit, zoals back-upbeheer, noodvoorzieningenplannen en crisisbeheer.
  4. Beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners.
  5. Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden.
  6. Beleid en procedures om de effectiviteit van maatregelen voor risicobeheer op het gebied van cyberbeveiliging te beoordelen.
  7. Basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging.
  8. Beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie.
  9. Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa.
  10. Wanneer gepast, het gebruik van multifactorauthenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit.
  11. Een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden.

Melding van significante incidenten

De NIS2-wet bepaalt dat essentiële en belangrijke entiteiten in België het CCB in kennis moeten stellen van elk significant incident dat gevolgen heeft voor de verlening van hun diensten in de (sub)sectoren die in de bijlagen van de wet worden opgesomd, met inbegrip van, indien van toepassing, informatie aan de hand waarvan kan worden vastgesteld of het incident in kwestie een grensoverschrijdend effect heeft. De NIS2 wet definieert ‘incident’ als een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen, in gevaar brengt. Een ‘significant’ incident is elk incident dat significante gevolgen heeft voor de verlening van een van de diensten in de sectoren of deelsectoren van de bijlagen I en II van de wet. In de praktijk vindt de kennisgeving plaats via de procedure op de CCB-website.

Verplichtingen en verantwoordelijkheden voor het management

De bestuursorganen van NIS2 entiteiten moeten maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren en toezicht houden op de uitvoering ervan. Als de entiteit haar verplichtingen met betrekking tot risicobeheersmaatregelen niet nakomt, is het bestuursorgaan aansprakelijk. Leden van de bestuursorganen zijn verplicht om opleidingen te volgen om ervoor te zorgen dat hun kennis en vaardigheden voldoende zijn om risico’s te identificeren en maatregelen voor het beheer van cyberbeveiligingsrisico’s en de impact ervan op de diensten die door de betreffende entiteit worden verleend, te beoordelen. De verantwoordelijke personen en/of wettelijke vertegenwoordigers van een entiteit moeten de bevoegdheid hebben om ervoor te zorgen dat de entiteit de wet nakomt. Ze zijn aansprakelijk als ze dit nalaten.

Samenwerking met de autoriteiten

De NIS2-wet vereist dat entiteiten die binnen het toepassingsgebied vallen, samenwerken met de nationale autoriteiten die verantwoordelijk zijn voor de uitvoering ervan, met name het CCB en de sectorale autoriteiten. Deze samenwerking neemt meestal de vorm aan van een uitwisseling van informatie over de beveiliging van netwerken en informatiesystemen, maar omvat ook samenwerking tussen de entiteit en de CCB’s of de sectorale inspectiedienst. 

"*" geeft vereiste velden aan

Stuur ons een bericht

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Kunnen we je helpen met zoeken?