richardk/iso27diy-corp
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
iso27diy-corp/Corpus/Standards/NIS 2 Cbw/NIS 2 in Vlaanderen.md

9.2 KiB
Raw Blame History

#nis2

NIS2 in Vlaanderen

Bron: CCB: Wat betekent het voor mijn organisatie?

Toepassingsgebied

Voor welke organisaties geldt de richtlijn?

  • Grote of middelgrote ondernemingen in genoemde sectoren: meer dan 50 werknemers of meer dan 10 miljoen euro jaarlijkse omzet
  • Onderscheid tussen "essentiële" en "belangrijke" entiteiten, o.b.v. de omvang en het type van de organisatie. Essentiële entiteiten zullen strenger gecontroleerd en gesanctioneerd worden dan belangrijke entiteiten.
  • Essentiële entiteiten zijn grote ondernemingen die deel uitmaken van de zeer kritieke sectoren (zie bijlage I van de richtlijn). Een grote entiteit wordt gedefinieerd als: ondernemingen met ten minste 250 werknemers OF met een jaaromzet van ten minste 50 miljoen euro OF een jaarlijks balanstotaal van ten minste 43 miljoen euro.
  • Belangrijke entiteiten zijn middelgrote ondernemingen die actief zijn in de zeer kritieke sectoren (zie bijlage I van de richtlijn), OF grote of middelgrote ondernemingen in de sectoren van bijlage II van de richtlijn die niet in de categorie essentiële entiteiten vallen (vanwege hun omvang of het type van de betrokken entiteit). Een middelgrote onderneming wordt gedefinieerd als: ten minste 50 werknemers OF met een jaaromzet (of balanstotaal) van ten minste 10 miljoen euro, maar dus met minder dan 250 werknemers EN niet meer dan 50 miljoen euro omzet of 43 euro balanstotaal.
  • Daaronder zijn het kleine en micro-ondernemingen, deze vallen buiten het toepassingsgebied (op specifieke uitzonderingen na): Minder dan 50 werknemers EN een jaaromzet van minder dan EUR 10 miljoen EN minder dan EUR 10 miljoen jaarlijks balanstotaal.
  • Uitzonderingen zijn organisaties die als kritiek worden aangemerkt, op basis van de sectoren waarin ze werkzaam zijn1.
  • Nationale autoriteiten kunnen specifieke entiteiten aanmerken als "kritiek" of "belangrijk", bijvoorbeeld wanneer zij de enige dienstverlener zijn of wanneer een verstoring van de dienstverlening aanzienlijke gevolgen zou kunnen hebben voor de openbare veiligheid, de openbare veiligheid of de volksgezondheid.
  • Voor details zie de artikelen 2, 3 en 4 van de richtlijn.

Jurisdictie en territorialiteit

  • De Belgische wet tot omzetting van de NIS2-richtlijn zal in principe van toepassing zijn op entiteiten die in België gevestigd zijn. Waarbij vestiging inhoudt: “de daadwerkelijke uitoefening van de activiteit in door middel van stabiele regelingen” bijv. via een filiaal, of een dochteronderneming.
  • Uitzonderingen:
    • aanbieders van openbare communicatie-netwerken of -diensten vallen onder de jurisdictie van de lidstaat waar zij hun diensten aanbieden;
    • DNS-aanbieders, aanbieders van domeinnaamregistratiediensten, cloud computing-diensten, datacenterdiensten, netwerken voor de levering van inhoud, beheerde diensten, beheerde beveiligingsdiensten, onlinemarktplaatsen, zoekmachines en sociale netwerkdiensten vallen onder de jurisdictie van de lidstaat waar zij hun hoofdvestiging in de EU hebben.
    • overheidsinstanties vallen onder de jurisdictie van de lidstaat die hen heeft opgericht.
  • Voor details zie de artikelen 26-27 van de richtlijn.

Maatregelen (zorgplicht)

Essentiële en belangrijke entiteiten, die onder het toepassingsgebied vallen, moeten “passende en evenredige maatregelen” nemen om de risicos voor de beveiliging van hun netwerk- en informatiesystemen, te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken (Zie hiervoor vooral art. 20-25)

Deze maatregelen omvatten ten minste: 

  • beleid inzake risicoanalyse en beveiliging van informatiesystemen;
  • incidentenbehandeling;
  • bedrijfscontinuïteit, zoals back-upbeheer en noodvoorzieningenplannen, en crisisbeheer;
  • de beveiliging van de toeleveringsketen, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverlener beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden;
  • beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisicos te beoordelen;
  • basispraktijken op het gebied van cyberhygiëne en opleiding op het gebied van cyberbeveiliging;
  • beleid en procedures inzake het gebruik van cryptografie en, in voorkomend geval, encryptie;
  • beveiligingsaspecten ten aanzien van personeel, toegangsbeleid en beheer van activa;
  • wanneer gepast, het gebruik van multifactor authenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit. 
  • Voor details zie de artikelen 20-25 van de richtlijn.

Verantwoordelijkheden van de bestuursorganen of leidinggevenden

  • Het bestuur moet de maatregelen goedkeuren en toezien op de uitvoering. Ze kan aansprakelijk worden gesteld voor eventuele inbreuken. 
  • Bestuursleden moeten een cyberbeveiligingsopleiding volgen, zodat ze begrijpen welke maatregelen ze goedkeuren, en hun werknemers regelmatig een soortgelijke opleiding aanbieden.
  • Managers moeten voldoende kennis en vaardigheden verwerven om risico's te identificeren voor hun organisatie en om de cyberveiligheidsmaatregelen en de gevolgen ervan voor hun organisatie te kunnen beoordelen

Rapportageverplichtingen en meldplicht

Zie ook Cyberfundamentals Framework BE-NL.

Essentiële en belangrijke entiteiten moeten elk belangrijk incident onverwijld melden bij het CCB (de nationale CSIRT). Elk incident dat ernstige gevolgen heeft voor de dienstverlening in de in de bijlagen I en II van de richtlijn opgenomen sectoren of sub sectoren, moet onmiddellijk gemeld worden.

Kenmerken van een ernstig incident:

  • Kan een ernstige operationele verstoring geven, of financiële verliezen veroorzaken, van de diensten in (sub)sectoren uit bijlagen I en II van de richtlijn
  • aanzienlijke materiële, fysieke of immateriële schade veroorzaken aan andere natuurlijke of rechtspersonen. 

Melding

De melding moet uit verschillende stappen bestaan:

  • vroegtijdige waarschuwing (ten laatste binnen de 24 uur nadat men kennis heeft gekregen van het incident), met minimale info, o.a. of het incident zich kan verspreiden naar andere sectoren of naar het buitenland, en of kwaadaardig opzet vermoed wordt ;
  • een volledige incidentmelding (ten laatste binnen de 72 uur nadat men kennis heeft gekregen van het incident)
  • eventueel een tussentijds verslag of een voortgangsverslag (op vraag van het nationale CSIRT).
  • Een eindverslag (één maand na de indiening van de incidentmelding). Indien het incident nog niet is afgerond na 1 maand, dan wordt een tussentijds verslag verwacht na 1 maand, en een finaal verslag eenmaal het incident is afgerond.

Waar toepasselijk moet een entiteit ook hun klanten onverwijld in kennis stellen van significante incidenten die hun dienstverlening kunnen schaden. 

Naast de rapportageverplichting kunnen verslagen op vrijwillige basis worden ingediend door: 

  • essentiële en belangrijke entiteiten over (niet significante) incidenten, cyberdreigingen en voorkomen incidenten;
  • andere entiteiten dan essentiële en belangrijke entiteiten, ongeacht of ze onder het toepassingsgebied van de richtlijn vallen.

Voor meer details over rapportageverplichtingen zie o.a. artikelen 23 en 30 van de richtlijn.

Toezicht en Sancties

  • Lidstaten (cq. De bevoegde nationale autoriteiten) houden het toezicht op de uitvoering van de NIS2
  • Hiervoor kunnen zij bijvoorbeeld regelmatige externe audits, inspecties uitvoeren of bepaalde documentatie opvragen.
  • hebben de bevoegdheid om maatregelen te nemen als waarschuwingen of bindende instructies, of het informeren van de klanten van de organisatie. Ook kunnen doeltreffende, evenredige en afschrikkende administratieve boetes worden opgelegd.

Inbreuken op het gebied van risicobeheersmaatregelen of incidentmeldingen kunnen worden bestraft: 

  • voor essentiële entiteiten: boetes tot maximum 10 miljoen euro of ten minste 2 % van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is.
  • voor belangrijke entiteiten: boetes tot maximum 7 miljoen euro of ten minste 1,4 % van de totale wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. 
  • Lidstaten kunnen in de omzettingskwet bepalen dat overheidsinstanties hiervan uitgesloten zijn. De andere sancties gelden wel.

Lidstaten kunnen dwangsommen opleggen om een essentiële of belangrijke entiteit te dwingen een inbreuk op de richtlijn te staken.

Natuurlijke personen die essentiële entiteiten vertegenwoordigen kunnen aansprakelijk worden gesteld om top management te sensibiliseren.

Voor alle details over sancties, zie artikelen 31-37 van de richtlijn. 

Voorwaarts

  • België zal uiterlijk op 17 oktober 2024 nieuwe bepalingen moeten aannemen.
  • Nieuwe verplichtingen treden aan het eind van de omzettingstermijn in werking (oktober 2024).

Zie ook: NIS 2 Cyberfundamentals Framework

  1. zie bijlagen I en II van de richtlijn ↩︎