Inleiding:
Op 27 december 2022 heeft de Europese Commissie de nieuwe NIS2-richtlijn gepubliceerd. Deze richtlijn is de opvolger van de NIS1-richtlijn uit 2016 die, gelet op de steeds toenemende cyberdreigingen en onze afhankelijkheid van de digitale wereld, aan een update toe was. De nieuwe richtlijn beoogt het toepassingsgebied aanzienlijk uit te breiden, maar behoudt in essentie dezelfde doelstellingen als haar voorganger, namelijk (i) nationale overheden aanzetten om voldoende aandacht te besteden aan cybersecurity, (ii) de Europese samenwerking versterken tussen de bevoegde autoriteiten, en (iii) het opleggen van veiligheidsmaatregelen aan de belangrijkste operatoren van de gevoeligste sectoren in de samenleving. Elke lidstaat heeft tot 17 oktober 2024 de tijd om de NIS2-richtijn om te zetten in nationale wetgeving. De Belgische wetgever heeft daaraan gehoor gegeven door op 18 april 2024 de Belgische wet tot omzetting van de NIS2-richtlijn aan te nemen. De wet treedt in werking op 18 oktober 2024. Hoog tijd dus om de grootste wijzigingen te overlopen.
1. Uitbreiding van de sectoren en activiteiten
Zoals gezegd wordt het toepassingsgebied door de NIS2-richtlijn aanzienlijk uitgebreid. Om te bepalen of een entiteit onder de cybersecurityverplichtingen zal vallen, wordt hoofdzakelijk gekeken naar twee criteria: (i) ze moet actief zijn in een van de sectoren en types van diensten die worden opgelijst in de bijlagen van de richtlijn en (ii) ze moet een bepaalde grootte hebben.
De bijlagen van de richtlijn onderscheiden enerzijds de “zeer kritieke sectoren”, en anderzijds de “andere kritieke sectoren”. Voorbeelden van zeer kritieke sectoren zijn o.a. energie, vervoer of drinkwater.
Onder andere kritieke sectoren kunnen we o.a. post- en koerierdiensten, de vervaardiging en productie van chemische stoffen of levensmiddelen begrijpen.
Opdat een entiteit onder het toepassingsgebied van de richtlijn zou vallen, is niet enkel vereist dat ze voorkomt op bovenvermelde lijst, maar ook dat ze voldoet aan een bepaalde grootte. Het is vereist dat een entiteit een grote of middelgrote onderneming is, d.w.z. meer dan 50 werknemers of meer dan 10 miljoen euro jaarlijkse omzet heeft. Bijgevolg zijn, op enkele specifieke uitzonderingen na, kleine en micro-ondernemingen met minder dan 50 werknemers of met een omzet lager dan 10 miljoen euro op jaarbasis, hoe dan ook uitgesloten van het toepassingsgebied van de richtlijn.
Onder de NIS1-richtlijn werd een onderscheid gemaakt tussen “aanbieders van essentiële diensten” en “digitale dienstverleners”. Dit onderscheid wordt vervangen door een onderscheid tussen “essentiële” en “belangrijke” entiteiten. Dit onderscheid zal automatisch gemaakt worden op basis van de grootte en de sector waarin de betrokken entiteit actief is. Daarnaast kunnen nationale autoriteiten ook entiteiten specifiek plaatsen in de ene of andere categorie.
2. Verplichtingen voor essentiële en belangrijke entiteiten
De NIS2-richtlijn verplicht deze essentiële en belangrijke entiteiten om nieuwe maatregelen te nemen op het gebied van cybersecurity. Deze maatregelen moeten passend en evenredig zijn om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beperken en de eventuele gevolgen van incidenten voor de afnemers van hun producten en diensten te beperken.
Eén van deze verplichtingen bestaat eruit dat de leden van het bestuursorgaan een opleiding omtrent cybersecurity moeten volgen.
Naast het nemen van passende maatregelen legt de NIS2-richtlijn ook rapportageverplichtingen op. Zo moeten essentiële en belangrijke entiteiten elk belangrijk incident melden bij de bevoegde nationale autoriteit (voor België CCB- Centrum voor Cybersecurity België).
3. Verstrengd toezichts-en handhavingssysteem
De bevoegde nationale autoriteiten zijn bevoegd om enerzijds zelf maatregelen te nemen en om anderzijds de entiteiten ertoe aan te zetten passende maatregelen te nemen. Dit kan gaan van waarschuwingen en bindende instructies tot het opleggen van administratieve geldboetes. Deze administratieve geldboetes kunnen voor essentiële entiteiten oplopen tot 10 miljoen euro of ten minste 2% van de wereldwijde jaaromzet.
Desondanks dat de nieuwe wetgeving pas in werking treedt op 18 oktober 2024, is het raadzaam voor entiteiten die duidelijk aan de nieuwe wetgeving onderworpen zullen zijn, om reeds voorbereidende maatregelen te treffen.
Heeft u bijkomende vragen of twijfelt u of uw onderneming aan de nieuwe wetgeving onderworpen zal zijn, aarzel niet om ons te contacteren zodat we samen uw situatie kunnen bekijken.
