- Nieuws
- Motion & Drives
- Control & Network
- Process & Instrumentation
- Sensor & Vision
- Services & Solutions
- IT & OT
Netwerken en informatiesystemen zijn centrale elementen van onze samenleving geworden. Het aantal, de schaal, het raffinement, de frequentie en de impact van incidenten met deze netwerken en informatiesystemen vormen nu echter aanzienlijke bedreigingen voor de bevolking, het bedrijfsleven en de overheid. Het doel van de NIS2-wetgeving, die ingaat in oktober, is het versterken van maatregelen op het gebied van cyberbeveiliging, incidentbeheer en het toezicht op entiteiten die diensten leveren die essentieel zijn voor het in stand houden van kritieke maatschappelijke of economische activiteiten. Maar wat moeten bedrijven allemaal doen om compliant te zijn?
NIS2-entiteiten die onder het toepassingsgebied van de Belgische NIS2-wet vallen, moeten hun organisatie registreren bij het CCB. In de praktijk zal deze registratie de vorm aannemen van een onlineformulier dat moet worden ingevuld op Safeonweb@Work. De termijn voor registratie hangt af van het soort entiteit. In principe hebben essentiële en belangrijke entiteiten en aanbieders van domeinnaamregistratiediensten vijf maanden vanaf de inwerkingtreding van de wet om zich te registreren. Er is een uitzondering voor entiteiten die deze informatie al hebben doorgegeven aan een NIS2-sectorautoriteit. In dit geval hoeft de informatie alleen te worden bijgewerkt indien nodig. Als de informatie verandert, moeten alle entiteiten het CCB daarvan onmiddellijk op de hoogte stellen. Voor een aantal andere entiteiten (vooral aanbieders uit de telecomsector) bestaat een licht aangepaste regeling. Ze moeten zich registreren binnen twee maanden.
Essentiële en belangrijke entiteiten moeten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen te beheren en om incidenten te voorkomen of de gevolgen van incidenten te beperken. Bovendien moeten de getroffen maatregelen zorgen voor een beveiligingsniveau voor netwerken en informatiesystemen dat in verhouding staat tot het bestaande risico, rekening houdend met de stand van de techniek en, indien van toepassing, de desbetreffende Europese en internationale normen. Bij de beoordeling van de evenredigheid van deze maatregelen moet terdege rekening worden gehouden met de mate waarin de entiteit aan risico’s is blootgesteld, de omvang van de entiteit en de kans dat zich incidenten voordoen en de ernst ervan. In de wet worden elf minimummaatregelen genoemd die elke NIS2-entiteit moet implementeren:
De NIS2-wet bepaalt dat essentiële en belangrijke entiteiten in België het CCB in kennis moeten stellen van elk significant incident dat gevolgen heeft voor de verlening van hun diensten in de (sub)sectoren die in de bijlagen van de wet worden opgesomd, met inbegrip van, indien van toepassing, informatie aan de hand waarvan kan worden vastgesteld of het incident in kwestie een grensoverschrijdend effect heeft. De NIS2 wet definieert ‘incident’ als een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen, in gevaar brengt. Een ‘significant’ incident is elk incident dat significante gevolgen heeft voor de verlening van een van de diensten in de sectoren of deelsectoren van de bijlagen I en II van de wet. In de praktijk vindt de kennisgeving plaats via de procedure op de CCB-website.
De bestuursorganen van NIS2 entiteiten moeten maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren en toezicht houden op de uitvoering ervan. Als de entiteit haar verplichtingen met betrekking tot risicobeheersmaatregelen niet nakomt, is het bestuursorgaan aansprakelijk. Leden van de bestuursorganen zijn verplicht om opleidingen te volgen om ervoor te zorgen dat hun kennis en vaardigheden voldoende zijn om risico’s te identificeren en maatregelen voor het beheer van cyberbeveiligingsrisico’s en de impact ervan op de diensten die door de betreffende entiteit worden verleend, te beoordelen. De verantwoordelijke personen en/of wettelijke vertegenwoordigers van een entiteit moeten de bevoegdheid hebben om ervoor te zorgen dat de entiteit de wet nakomt. Ze zijn aansprakelijk als ze dit nalaten.
De NIS2-wet vereist dat entiteiten die binnen het toepassingsgebied vallen, samenwerken met de nationale autoriteiten die verantwoordelijk zijn voor de uitvoering ervan, met name het CCB en de sectorale autoriteiten. Deze samenwerking neemt meestal de vorm aan van een uitwisseling van informatie over de beveiliging van netwerken en informatiesystemen, maar omvat ook samenwerking tussen de entiteit en de CCB’s of de sectorale inspectiedienst.