Elk Europees bedrijf dat zogeheten essentiële activiteiten uitvoert of samenwerkt met een bedrijf dat zulke activiteiten uitvoert valt straks onder de nieuwe ‘Network and Information systems Security’-richtlijnen, kortweg NIS2 genoemd. Dit betekent dat ook heel wat Belgische KMO’s aan deze wetgeving zullen moeten voldoen. En de boetes voor wie niet in regel is beloven pittig te zijn!
Cybersecurity van cruciaal belang
Volgens de FBI richtten cyberaanvallen in 2021 wereldwijd voor bijna $7 miljard aan schade aan. En omdat deze cijfers enkel gebaseerd zijn op gemelde gevallen van cybercriminaliteit, ligt de daadwerkelijke schade nog een pak hoger. Met de introductie van nieuwe Europese cybersecurityrichtlijnen wil de Europese Unie bedrijven dwingen hun cyberveiligheid op orde te brengen. Kwestie van te voorkomen dat cyberaanvallen de gehele maatschappij of delen ervan kunnen ontwrichten.
Wat is NIS2 precies?
Naar analogie met de GDPR-regelgeving heeft de NIS2-richtlijn vooral tot doel om bewustwording te creëren rond de noodzaak van goed beveiligde netwerk- en informatiesystemen in uw bedrijf. Nadat eind 2020 de NIS2-richtlijn werd voorgesteld door de Europese Commissie, bereikten de 3 Europese instanties (Commissie, Raad en Parlement) hierover in 2022 een politiek akkoord. Dit betekent dat de nieuwe regelgeving er sowieso komt. Ze gaat wellicht ergens in 2024 in voegen.
NIS2 wordt de opvolger van de huidige cybersecurityrichtlijn NIS, waar u misschien nog nooit van gehoord heeft. En dat is niet zo verwonderlijk, want de toepassing van de huidige NIS beperkt zich tot grote ondernemingen in vitale sectoren, zoals elektriciteitsbedrijven, drinkwatervoorzieningen en telecombedrijven. NIS2 gaat echter véél verder en gaat ook impact hebben op heel wat KMO’s, omdat de bedrijfsgrootte geen rol meer speelt én omdat het over veel meer sectoren gaat. Dit betekent dat elke Belgische KMO spoedig zal moeten nagaan of NIS2 van toepassing is en indien nodig de gepaste maatregelen zal moeten nemen.
Een niet-naleving betekent straks immers niet enkel dat uw onderneming een grote kans maakt om het slachtoffer van cyberaanvallen te worden, maar ook dat u het risico loopt op forse boetes. NIS2 wordt straks immers gehandhaafd op basis van een proactief beleid waarbij controles steekproefgewijs worden uitgevoerd. Veel strenger dus dan bijvoorbeeld de huidige GDPR-handhaving, waarbij er pas controles volgen als er serieus vermoeden van een datalek is.
Valt uw onderneming straks onder NIS2?
Om te achterhalen of uw onderneming straks ook onder NIS2 valt, dient u drie zaken uit te klaren:
1. Vallen uw bedrijfsactiviteiten onder essentiële activiteiten?
Voor NIS2 valt de definitie van essentiële activiteiten uiteen in acht sleutelsectoren: de transportsector, gezondheidszorg, bankensector, financiële markten, digitale infrastructuur, drinkwatervoorziening, rioolwaterafvoer en energievoorziening. De grootte van de onderneming maakt zoals gezegd niet meer uit. Dit betekent dat ook kleine koeriersdiensten, lokale softwarebedrijven, datacenters en logistieke partijen aan de NIS2-wetgeving zullen moeten beantwoorden.
2. Doet u zaken met toeleveranciers of ketenpartners met essentiële activiteiten?
NIS2 richt zich logischerwijs op de gehele toevoerketen, want 97% van de cyber security-problemen die bedrijven in 2021 ondervonden waren afkomstig van lekken bij andere bedrijven. Met als gevolg dat ook bedrijven die zelf geen essentiële activiteiten ontplooien, maar wel zaken doen met partijen die dat wel doen eveneens onder de nieuwe richtlijn vallen. Levert u software aan Proximus of bPost? Doet u zaken met een logistieke partner die medische apparatuur verscheept? Of verkoopt u hardware aan een kleine energieleverancier? Dan bent u er in elk geval bij!
3. Worden de essentiële activiteiten in de Europese Unie ontplooid?
NIS2 kijkt niet naar waar een bedrijf is gevestigd, maar naar waar het zijn activiteiten uitvoert. Ieder bedrijf dat ergens in de Europese Unie diensten aanbiedt en onder ‘essentiële activiteiten’ valt, zal zich dus naar de nieuwe richtlijn moeten schikken. Dat heeft tot gevolg dat ook wie zaken doet met een niet-Europese partij moet controleren of die partij in de Europese Unie essentiële activiteiten uitvoert.
Denkt u dat uw onderneming onder NIS2 zal vallen? Contacteer Aurelium dan om samen uw praktijken aan de richtlijn te toetsten en tijdig de nodige voorbereidingen te treffen. Denkt u niet onder NIS2 te vallen, maar wilt u uw onderneming sowieso beter beveiligen tegen cyberaanvallen? Neem dan evengoed contact met ons op!
