Support 
Hoe begin je met NIS2 en welke stappen kan je nu al nemen?
05/07/2024 - 4 min readVeel bedrijven zitten nog met heel wat vragen met betrekking tot NIS2. Daarom geven we in deze blogpost een overzicht mee van de stand van zaken in België én enkele belangrijke aandachtspunten en deadlines.
België en de NIS2-wetgeving
Op 26 april heeft België de NIS2-richtlijn omgezet in nationale wetgeving. Dit betekent dat je als organisatie nu al aan de slag kan met je voorbereidingen:
- Registreer je uiterlijk 18 maart 2025 bij safeonweb.be als je organisatie onder de NIS2-regels valt (meer info hierover in deze blog). Voor specifieke entiteiten zoals DNS-serviceproviders, datacenters, … is de deadline 18 december 2024.
- Begin met het nemen van cyberbeveiligingsmaatregelen (zie verder in deze blog).
Valt mijn bedrijf onder NIS2?
De eerste vraag die je je stelt is uiteraard of je bedrijf zelf onder NIS2 valt. De autoriteiten werken nog aan een verduidelijking van het toepassingsgebied van de NIS2-richtlijn. Hoewel dit de meest gestelde vraag blijft, lijkt het erop dat we nog even moeten wachten op een definitief en duidelijk antwoord.
De basis van toepassing lees je in deze blog.Klaar voor NIS2 met Cyberklaar
Cyberklaar is een A tot Z gestructureerd begeleidingstraject van NTX dat jouw bedrijf helpt om te voldoen aan NIS2 en de daaraan gekoppelde security vereisten.
Certificering nodig? CyFun of ISO 27001
Op 24 juni is het Koninklijk Besluit gepubliceerd, dat verdere details geeft over de implementatie van de NIS2-wetgeving. Het KB bepaalt dat organisaties die het CyFun of ISO 27001 framework gebruiken, als compliant worden beschouwd. Hou er ook rekening mee dat de scope van de NIS2-wetgeving je hele organisatie betreft, inclusief je toeleveringsketen.
Essentiële en belangrijke entiteiten
Essentiële entiteiten moeten gecertificeerd worden (of kunnen kiezen voor een inspectie door het CCB). Ze moeten de beveiligingsmaatregelen geïmplementeerd hebben voor 18 april 2027.
Ben ik een essentiële entiteit?Belangrijke entiteiten hoeven niet gecertificeerd te worden, maar moeten kunnen aantonen dat ze de noodzakelijke maatregelen hebben geïmplementeerd. Dit moet gebeuren voor 18 april 2026.
Ben ik een belangrijke entiteit?Zelf geen NIS2-entiteit maar wel deel van de toeleveringsketen van een NIS2-entiteit
Ook als je organisatie niet onder de NIS2-wet valt, is het belangrijk te weten dat de wet je nog steeds op 2 manieren kan raken.
- Aanduiding door de nationale autoriteit (CCB): De nationale autoriteit voor cyberbeveiliging (het CCB) kan organisaties in bepaalde omstandigheden toch aanmerken als essentiële of belangrijke entiteiten. Dit proces verloopt in overleg met de betrokken entiteit.
- Toeleveringsketenverplichtingen: Als je organisatie deel uitmaakt van de toeleveringsketen van een NIS2-entiteit, kan je contractueel verplicht worden om cyberbeveiligingsmaatregelen te implementeren. NIS2-entiteiten moeten namelijk de beveiliging van hun toeleveringsketen waarborgen. Daarom adviseert het Centrum voor Cybersecurity België alle organisaties in de toeleveringsketen van een NIS2-entiteit om minimaal te voldoen aan de CyFun® Framework level Basic maatregelen.
Meldplicht
Vanaf 18 oktober 2024 moeten alle NIS2-entiteiten het CCB op de hoogte brengen van significante incidenten. Dit is elk incident dat een significante impact heeft op de levering van diensten en dat:
- een ernstige operationele verstoring van de dienstverlening of financiële verliezen voor de betrokken entiteit heeft veroorzaakt of kan veroorzaken;
- andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.
Meldingen moeten op de volgende manier gebeuren
- binnen 24 uur een eerste melding
- binnen 72 uur een completer rapport
- binnen een maand een volledig rapport.
Begin nu met het nemen van cyberbeveiligingsmaatregelen
Het CCB raadt aan om de volgende basismaatregelen nu al te nemen:
- Identificeer wie toegang moet hebben tot kritieke informatie.
- Beperk de toegang van werknemers tot wat ze nodig hebben voor hun werk.
- Zorg ervoor dat niemand beheerdersrechten heeft voor dagelijkse taken.
- Veilige toegang op afstand met multi-factor authenticatie.
- Installeer en activeer firewalls.
- Integreer netwerksegmentatie en -segregatie.
- Installeer patches en beveiligingsupdates.
- Bijhouden en beoordelen van logboeken.
- Installeer en update antivirus– en antimalwareprogramma’s.
- Maak back-ups en bewaar deze apart.
Klaar voor NIS2 met Cyberklaar
Cyberklaar is een A tot Z gestructureerd begeleidingstraject van NTX dat jouw bedrijf helpt om te voldoen aan NIS2 en de daaraan gekoppelde security vereisten.
Conclusie
Het is duidelijk dat de implementatie van de NIS2-richtlijn een complexe maar noodzakelijke stap is om de cyberbeveiliging van organisaties te verbeteren. Door de CyFun Basic key measures te volgen, maak je alvast een goede start. Het is belangrijk om op de hoogte te blijven van verdere ontwikkelingen en tijdig de noodzakelijke stappen te ondernemen om aan de NIS2-eisen te voldoen.
