NIS2

Valt elke onderneming in deze sectoren onder NIS2?

Niet elke onderneming die in één van bovenstaande sectoren valt, moet zich automatisch conformeren aan NIS2. Dit is pas het geval wanneer de onderneming aanzien wordt als een essentiële entiteit of een belangrijke entiteit volgens de volgende criteria:

Essentiële entiteit

• Actief in een sector genoemd in bijlage I van NIS 2 en
• een “grote” onderneming: 250 personeelsleden of meer of een jaaromzet van meer dan 50 miljoen euro en een balanstotaal boven 43 miljoen euro

Belangrijke entiteit

• Actief in een sector genoemd in bijlage I van NIS 2 en
• een “middelgrote” onderneming: 50 – 249 personeelsleden met een jaaromzet tussen 10 – 50 miljoen euro of een balanstotaal tussen de 10 – 43 miljoen euro 

of

• Actief in een sector genoemd in bijlage II van NIS 2 en
• een grote of middelgrote onderneming op basis van bovengenoemde criteria

Er bestaan wel een aantal uitzonderingen waarvoor deze omvangcriteria niet van toepassing zijn zoals aanbieders van openbare elektronische communicatienetwerken, DNS-dienstverleners, aanbieders die als kritiek worden gezien of systeemrisico’s kennen alsook centrale overheidsinstanties.

Het belangrijkste verschil tussen essentiële entiteiten en belangrijke entiteiten is dat essentiële entiteiten onder een meer intensief toezichtregime vallen. Dit toezicht op de naleving van de NIS2 verplichtingen kan zowel ex ante of ex post zijn. Bij belangrijke entiteiten geldt een lichter regime waarbij er pas sprake is van toezicht ex post of als er indicaties zijn dat NIS 2 niet wordt nageleefd of indien er zich incidenten zouden voorgedaan hebben.

Kleine ondernemingen of micro-ondernemingen zullen niet snel onder het toepassingsgebied van NIS 2 vallen. Dit kan wel anders zijn als hun product of dienst van cruciaal belang is en de onderneming aangewezen wordt bij koninklijk besluit, waarna NIS2 dan wel van toepassing wordt.

Welke cybersecurity maatregelen moeten er genomen worden?

Om cyberbeveiligingsrisico’s te beheren, schrijft NIS2 een aantal maatregelen voor. Deze maatregelen kunnen risico-gebaseerd zijn, waarbij rekening kan worden gehouden met de stand van de techniek en de er aangekoppelde uitvoeringskosten.

NIS 2 bevat wel maatregelen die minimaal geïmplementeerd moeten worden, zoals o.a.

• een beleid inzake risicoanalyse en beveiliging van informatiesystemen;
• een incidentenbehandeling;
• garanderen van bedrijfscontinuïteit;
• beveiliging van de toeleveranciersketen;
• cyberhygiëne en training op het gebied van cybersecurity;
• een toegangsbeleid;
• multifactor-authenticatie

Naast te nemen maatregelen focust NIS 2 zich ook op het uitwisselen en ontvangen van informatie met en door het nationale CSIRT. Zo kent NIS 2 uitgebreide meldplichten, waarbij ondernemingen binnen 24 uur incidenten moeten melden bij de juiste instanties. De melding binnen 24 uur wordt gezien als een vroegtijdige waarschuwing, waarbij er nog aanvullende meldplichten zijn. Bijvoorbeeld binnen 72 uur een daadwerkelijke incidentmelding en binnen één maand een verslag met daarin een beschrijving van het incident, de oorzaak, genomen maatregelen en de gevolgen van het incident.

Welke sancties zijn er als NIS2 niet wordt nageleefd?

Het niet naleven van NIS2 kan leiden tot geldboetes die bij essentiële entiteiten kunnen oplopen tot maximaal 10 miljoen euro of 2% van de jaaromzet en bij belangrijke entiteiten tot 7 miljoen euro of 1,4 % van de jaaromzet.

NIS 2 heeft ook gevolgen voor de bestuurorganen van ondernemingen die onder NIS2 vallen. De wet stelt hen immers persoonlijk aansprakelijk indien de verplichtingen om maatregelen te nemen ter beheersing van cyberbeveiligingsrisico’s niet worden nageleefd. De memorie van toelichting verwijst hiervoor niet enkel naar de raad van bestuur maar ook naar het hoger management als naar meerderheidsaandeelhouders!