• Facebook
  • Twitter
  • LinkedIn
  • YouTube
Nieuwsbrief
Contact
NIS2 roadmap

NIS2 Belgie – alle belangrijke feiten voor u op een rij

Volgens de Belgische media zijn 200.000 bedrijven in Belgie betrokken

Wanneer ben je een NIS2 belangrijk bedrijf

CCB:

Om onder de Belgische NIS2-wet te vallen, moet een organisatie in principe:

  • Een dienst leveren die is opgenomen in bijlage I en II van de NIS2-wet in de Europese Unie;
  • De in Aanbeveling 2003/361/EG genoemde drempelwaarden voor middelgrote ondernemingen overschrijden, namelijk ten minste 50 jaararbeidseenheden (AJE) of meer dan € 10 miljoen euro jaaromzet of jaarlijks balanstotaal hebben; en
  • In België gevestigd zijn.

Zeer kritiek (ICT) secoren bijlage 1

  1. CCB: ICT-dienstenbeheer (B2B)

Ontsnapt u?

CCB: een organisatie in de toeleveringsketen van een NIS2-entiteit vallen en op grond van een contractuele verplichting worden geconfronteerd met de verplichting om maatregelen voor het beheer van cyberbeveiligingsrisico’s te implementeren. NIS2-entiteiten zijn inderdaad verplicht om de beveiliging van hun toeleveringsketen te verzekeren, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners.

In deze context adviseert het Centrum voor Cybersecurity België alle organisaties die zich in de toeleveringsketen van een NIS2-entiteit kunnen bevinden, om ten minste te voldoen aan de maatregelen die zijn uiteengezet in het CyberFundamentals (CyFun®) Framework level Basic. Een NIS2-entiteit zou theoretisch de naleving van een bepaald CyFun®-niveau kunnen opleggen aan haar directe leveranciers of dienstverleners.

Registreer: 1. Registratie op Safeonweb@Work

NIS2-entiteiten die onder het toepassingsgebied van de Belgische NIS2-wet vallen, moeten hun organisatie registreren bij het CCB. In de praktijk zal deze registratie de vorm aannemen van een online formulier dat moet worden ingevuld op Safeonweb@Work.

https://atwork.safeonweb.be/nl/register-my-organisation

2. Maatregelen voor het beheer van cyberbeveiligingsrisico’s

Essentiële en belangrijke entiteiten moeten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico’s voor de beveiliging van de netwerk- en informatiesystemen die zij voor hun activiteiten of voor het verlenen van hun diensten gebruiken, te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken.

Bovendien moeten de getroffen maatregelen zorgen voor een beveiligingsniveau voor netwerken en informatiesystemen dat in verhouding staat tot het bestaande risico, rekening houdend met de stand van de techniek en, indien van toepassing, de desbetreffende Europese en internationale normen, alsook met de uitvoeringskosten. Bij de beoordeling van de evenredigheid van deze maatregelen moet terdege rekening worden gehouden met de mate waarin de entiteit aan risico’s is blootgesteld, de omvang van de entiteit en de kans dat zich incidenten voordoen en de ernst ervan, met inbegrip van de maatschappelijke en economische gevolgen.

Verplichte maatregels:

In de wet worden 11 minimummaatregelen genoemd die elke NIS2-entiteit moet implementeren:

  1. Beleid voor risicoanalyse en beveiliging van informatiesystemen;
  2. incidentenbehandeling;
  3. bedrijfscontinuïteit, zoals back-upbeheer, noodvoorzieningenplannen en crisisbeheer;
  4. beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners;
  5. beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
  6. Beleid en procedures om de effectiviteit van maatregelen voor risicobeheer op het gebied van cyberbeveiliging te beoordelen;
  7. Basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
  8. Beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
  9. Beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
  10. Wanneer gepast, het gebruik van multifactorauthenticatie- of continue-authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit;
  11. Een beleid voor de gecoördineerde bekendmaking van kwetsbaarheden.

Management wake up call

CCB: Verplichtingen en verantwoordelijkheden voor het management

De bestuursorganen van NIS2-entiteiten moeten maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren en toezicht houden op de uitvoering ervan. Als de entiteit haar verplichtingen met betrekking tot risicobeheersmaatregelen niet nakomt, is het bestuursorgaan aansprakelijk.

Het Belgische NIS2 traject:

Toezicht op essentiële en belangrijke entiteiten

Essentiële entiteiten moeten een verplichte regelmatige conformiteitsbeoordeling ondergaan. Deze beoordeling wordt uitgevoerd op basis van een keuze die de entiteit maakt uit drie opties: 

  • Een CyberFundamentals (CyFun®)-certificering (niveau Essential) of -verificatie (niveau Important of Basic) met het relevante toepassingsgebied, toegekend door een conformiteitsbeoordelingsinstantie (CAB) die is goedgekeurd door het CCB na accreditatie door BELAC;
  • Een ISO/IEC 27001-certificering met het relevante toepassingsgebied, toegekend door een CAB die is geaccrediteerd door een accreditatie-instelling die de overeenkomst inzake wederzijdse erkenning (MLA) voor de ISO 27001-norm ondertekend heeft in het kader van de European co-operation for Accreditation (EA) of het International Accreditation Forum (IAF);
  • Een inspectie door de inspectiedienst van het CCB (of door een sectorale inspectiedienst).

Niet later dan 18 april 2026 moeten essentiële entiteiten, als onderdeel van de eerste verplichte conformiteitsbeoordelingen, ten minste:

  1. Ofwel een CyFun® -niveau Important verificatie verkrijgen, in het kader van een beoordeling uitgevoerd door een conformiteitsbeoordelingsinstantie (CAB) op basis van het CyFun® -kader ;
  2. Ofwel de toepassingsgebied en de statement of applicability voorleggen aan de CCB als onderdeel van een beoordeling uitgevoerd door een CAB op basis van de ISO/IEC 27001 norm;
  3. Of een CyFun® -zelfevaluatie van niveau Important* (*of niveau Basic afhankelijk van het resultaat van de risicoanalyse) voorleggen aan het CCB, in het kader van een evaluatie uitgevoerd door de inspectiedienst van het CCB;
  4. Ofwel het informatiebeveiligingsbeleid, de toepassingsgebied en de statement of applicability van de ISO/IEC 27001-norm voorleggen aan het CCB, in het kader van een beoordeling door de CCB-inspectiedienst. 

 Sancties

Inspecteurs kunnen ter plaatse gaan, notulen opmaken en rapporten schrijven. Op basis van deze bevindingen kan een procedure worden gestart om een entiteit te bevelen een einde te maken aan een overtreding en, indien nodig, passende administratieve maatregelen te nemen, variërend van waarschuwingen tot administratieve boetes.

Mogelijke administratieve maatregelen en boetes worden door de richtlijn vastgesteld. Als een maatregel of boete nodig wordt geacht, wordt altijd de facto rekening gehouden met de situatie en eventuele herhaalde overtredingen, zodat de maatregel of boete evenredig is. 

De volgende administratieve boetes kunnen worden opgelegd (verdubbeld bij herhaaldelijk gedrag binnen een periode van 3 jaar):

  • 500 tot 125.000 euro voor het niet voldoen aan de rapportageverplichtingen van artikel 12 (identificatieproces);
  • 500 tot 200.000 euro voor een entiteit die een van haar werknemers of onderaannemers heeft gesanctioneerd voor het te goeder trouw en binnen het kader van hun taken uitvoeren van de verplichtingen van de wet;
  • 500 tot 200.000 euro voor het niet voldoen aan toezichtverplichtingen;
  • 500 tot 7.000.000 euro of, indien dit hoger is, 1,4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van het bedrijf waartoe de entiteit behoort [belangrijke entiteiten];
  • 500 tot 10.000.000 euro of, indien dit hoger is, 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de entiteit behoort [essentiële entiteiten].

Het CCB kan ook de volgende administratieve maatregelen opleggen:

  • Waarschuwingen of bindende instructies geven;
  • Instrueren om een gedrag te stoppen of om risicobeheersmaatregelen of rapportageverplichtingen in overeenstemming te brengen;
  • Instrueren om de natuurlijke of rechtsperso(o)n(en) aan wie zij diensten verlenen te informeren of om vastgestelde overtredingen openbaar te maken;
  • Een controlefunctionaris benoemen [essentiële entiteiten];
  • Instrueren om de voorgestelde aanbevelingen uit te voeren;
  • Temp. een certificering of vergunning tijdelijk opschorten met betrekking tot alle of een deel van de relevante verleende diensten[essentiële entiteiten];
  • Temp. de uitoefening van leidinggevende functies tijdelijk verbieden [essentiële entiteiten].

De volledige tekst vindt u in 4 talen op: https://atwork.safeonweb.be/nl/nis2

Laat een reactie achter

Deel dit artikel

Aanbevolen artikels

Meer items

Blijf up to date met NIS2.news

Schrijf je in voor de nis2.news nieuwsbrief en mis nooit het laaste nieuws over NIS2