Datum NIS2 bekend - of toch niet?

Wanneer gaat de NIS2 in werking? Volgens SamenDigitaalVeilig wordt het 1 juli 2025. Hier wordt nog wel enige kanttekening bij gemaakt aangezien de wet, die de naam Cyberbeveiligingswet zal krijgen, nog de laatste stappen moet doorlopen: de Raad van State, de Tweede Kamer en de Eerste Kamer. Hopelijk gebeurd dit volgens schema. Dus het is nog niet helemaal definitief, maar wel waarschijnlijk.

Als we naar de Belgische wet kijken zien we onder andere de volgende maatregelen. De Nederlandse wet zal waarschijnlijk met iets vergelijkbaars komen:

  1. Uitgebreidere dekking van sectoren: NIS2 breidt de lijst van sectoren uit die onder de wet vallen. Naast kritieke sectoren zoals energie, transport en gezondheidszorg, vallen nu ook IT-diensten, voedselvoorziening, en digitale infrastructuur onder de wet.
  2. Verplichte risicobeheermaatregelen: Organisaties moeten een risicobeheerstrategie opzetten en deze continu bijwerken. Dit omvat maatregelen zoals incidentdetectie, respons- en herstelsystemen, risicobeoordeling en continuïteitsplannen.
  3. Incidentmeldingsplicht: Organisaties moeten ernstige cyberincidenten binnen 24 uur melden aan de bevoegde autoriteiten (zoals het Centrum voor Cybersecurity België). Een volledige analyse van het incident moet binnen 72 uur worden aangeleverd.
  4. Beveiliging van de toeleveringsketen: Organisaties zijn verantwoordelijk voor het beveiligen van hun volledige toeleveringsketen. Dit betekent dat ook externe leveranciers en partners moeten voldoen aan de beveiligingsnormen.
  5. Versterkte sancties: NIS2 introduceert strenge sancties voor niet-naleving. Bedrijven kunnen boetes krijgen die kunnen oplopen tot miljoenen euro’s of percentages van hun wereldwijde omzet.
  6. Aanstelling van verantwoordelijke personen: Organisaties moeten een specifieke verantwoordelijke voor cybersecurity aanstellen. Deze persoon is verantwoordelijk voor de implementatie van de maatregelen en de rapportage van incidenten.
  7. Samenwerking en informatie-uitwisseling: De wet moedigt samenwerking aan tussen organisaties en autoriteiten. Bedrijven moeten relevante informatie delen met andere entiteiten om collectieve dreigingen te verminderen.
  8. Bewustwordings- en trainingsprogramma's: Organisaties moeten programma’s opzetten voor het trainen van personeel en het vergroten van het bewustzijn over cyberdreigingen en beveiligingspraktijken.
  9. Periodieke audits en nalevingscontroles: Bedrijven moeten regelmatige audits uitvoeren om te controleren of zij voldoen aan de NIS2-eisen en hun beveiligingsmaatregelen continu verbeteren.
  10. Rapportage over cyberdreigingen: Naast incidentenrapportage, moeten bedrijven ook dreigingen en kwetsbaarheden melden om vroegtijdig in te grijpen en preventieve maatregelen te nemen.

Zijn jullie er al klaar voor?