NL 
EN 
DE 
FR Onder de NIS2-richtlijn van de EU, bepaalde organisaties die zijn ingedeeld als essentieel en belangrijk wettelijk verplicht zijn om maatregelen voor het beheer van cyberbeveiligingsrisico’s te nemen. Essentiële entiteiten tonen maturiteit op het gebied van cyberbeveiliging aan. Dit omvat sectoren zoals energie, vervoer, gezondheid, financiën, digitale infrastructuur en openbaar bestuur.
Niet-naleving kan leiden tot audits, corrigerende maatregelen en administratieve boetes.
Het centrum voor cybersecurity in België heeft een tool ontwikkeld om erachter te komen of uw entiteit onder de NIS2-wet valt of niet. Verwijs naar dit link om de tool te vinden.
Verplichtingen van essentiële en belangrijke entiteiten uit hoofde van de NIS2-wet (België)
De Belgische NIS2-wet, die de EU-richtlijn 2022/2555 omzet, legt verschillende cyberbeveiligingsverplichtingen op aan entiteiten die worden geacht: essentieel of belangrijk voor het functioneren van de samenleving en de economie.
1. Registratie
Entiteiten die binnen het toepassingsgebied van de NIS2-wet vallen, moeten Inschrijven bij het Centre for Cybersecurity Belgium (CCB) via het Safeonweb@work platform. Deze registratie is verplicht en zorgt ervoor dat de CCB effectief toezicht kan houden op en ondersteuning kan bieden aan deze entiteiten.
2. Maatregelen voor risicobeheer op het gebied van cyberbeveiliging
Zowel essentiële als belangrijke entiteiten zijn verplicht om te implementeren passende technische, operationele en organisatorische maatregelen om cyberbeveiligingsrisico’s te beheren. Deze maatregelen hebben tot doel:
- Beveiligde netwerk- en informatiesystemen.
- Voorkom incidenten.
- Minimaliseer de impact van incidenten op klanten en diensten.
4. Beveiliging van de toeleveringsketen
Essentiële en belangrijke entiteiten moeten passende en evenredige maatregelen nemen voor het beheer van cyberbeveiligingsrisico’s in hun toeleveringsketen. Dit is de reden waarom veel bedrijven buiten het NIS2-bereik CyFun® gebruiken om versterken van de governance op het gebied van cyberbeveiliging Of omdat een klant, leverancier of partner vereist bewijs van naleving.
5. Kennisgeving van significante incidenten
Entiteiten moeten alle significante incidenten naar de nationaal CSIRT, die in België de CCB. Dit omvat:
- Incidenten die ernstige operationele verstoringen veroorzaken.
- Incidenten met mogelijke grensoverschrijdende gevolgen.
- Financiële of reputatieschade.
Het rapportageproces omvat:
- Initiële kennisgeving binnen 24 uur.
- Gedetailleerd incidentrapport binnen 72 uur.
- Eindverslag binnen een maand.
4. Verplichtingen voor het beheer
De beheersorganen van de NIS2-entiteiten zijn verantwoordelijk voor:
- Goedkeuring van maatregelen voor het beheer van cyberbeveiligingsrisico’s en toezicht op de uitvoering ervan.
- Na een opleiding om ervoor te zorgen dat hun kennis en vaardigheden toereikend zijn voor identiteitsrisico's en behandeling
In geval van niet-naleving, Het management kan aansprakelijk worden gesteld.
5. Toezicht
- Essentiële entiteiten moet ondergaan regelmatige nalevingsbeoordelingen, waarbij een van de volgende opties wordt gekozen:
- CyberFundamentals-certificering of -verificatie.
- ISO/IEC 27001-certificering.
- Audit door de auditdienst van de CCB.
- Belangrijke entiteiten mag niet regelmatig aan een nalevingsbeoordeling worden onderworpen.
6. Sanctie
Essentiële en belangrijke entiteiten die hun verplichtingen niet nakomen, kunnen worden onderworpen aan een reeks administratieve maatregelen en boetes.