NIS2 komt eraan – Is jouw organisatie al klaar voor de nieuwe regels?

Ja, dat kan. Wettelijk gezien moet uw organisatie enkel voldoen aan de verplichtingen die op u van toepassing zijn volgens de NIS2-wet. Echter kan een essentiële entiteit contractueel strengere eisen opleggen, zoals het behalen van een CyFun label of ISO 27001-certificaat of het uitvoeren van extra beveiligingsmaatregelen. Dit gebeurt vaak om ketenrisico’s te beperken. Het is dus geen wettelijke verplichting, maar een commerciële afspraak die voortvloeit uit de verplichting om als essentiële entiteit de toeleveringsketen te beveiligen.

Ja, de timing is dezelfde. Zowel essentiële als belangrijke entiteiten moeten sinds 18 oktober 2024 voldoen aan de NIS2-verplichtingen. Het verschil zit in het toezicht. Essentiële entiteiten worden proactief gecontroleerd, terwijl voor belangrijke entiteiten een vermoeden van conformiteit geldt en deze enkel reactief worden gecontroleerd, bijvoorbeeld na een incident. Essentiële entiteiten moeten hun naleving wel aantoonbaar maken en daarbij rekening houden met vastgelegde wettelijke deadlines. Er is een graduele aanpak voorzien, met een eerste verplichting in april 2026 en een tweede in april 2027.

Iedere rechtspersoon/organisatie binnen een groep organisaties of bedrijven dient zelf en individueel te analyseren of die al dan niet binnen het toepassingsgebied van NIS2 valt op basis van zijn activiteiten en aangeleverde diensten. Wel dienen binnen een groep organisaties of bedrijven het aantal Fte’s en de financiële gegevens geconsolideerd te worden op basis van de regels van Aanbeveling 2003/361.

De certificeringsmodaliteiten zijn identiek voor zowel belangrijke als essentiële entiteiten. Het verschil zit in de verplichting: belangrijke entiteiten kunnen vrijwillig certificeren, terwijl essentiële entiteiten verplicht worden om dit te doen. In de praktijk zien we dat steeds meer belangrijke entiteiten toch bewust voor certificering kiezen, bijvoorbeeld om hun positie in de keten te versterken of om aan leveranciersverwachtingen te voldoen. Voor essentiële entiteiten gelden daarbij duidelijke wettelijke termijnen. De eerste certificeringsdeadline valt in april 2026, gevolgd door een tweede deadline in april 2027.

Het vereiste NIS2-beveiligingsniveau wordt niet bepaald door het niveau van de organisatie waarvoor je als leverancier werkt. Een leverancier moet zelf, op basis van een eigen risicoassessment, bepalen welk niveau passend en proportioneel is en kan dus gemotiveerd voor een lager niveau kiezen. Wel is het aangewezen om in dialoog te gaan met de klant om hun verwachtingen te verduidelijken en correct te kaderen. Op die manier kan, indien nodig of relevant, gericht gevolg worden gegeven aan bijkomende maatregelen of afspraken binnen de samenwerking.

In principe valt een klein bedrijf niet binnen het toepassingsgebied van de NIS2-wet en is bijgevolg uw organisatie niet wettelijk verplicht om aan de NIS2-eisen te voldoen. Let op, er zijn uitzonderingen op deze regel, zodat uw organisatie alsnog binnen het toepassingsgebied van de NIS2-wet valt ongeacht de omvang. Indien uw organisatie niet als belangrijke of essentiële entiteit gecategoriseerd is, kan uw bedrijf indirect toch geconfronteerd worden met de NIS2-verplichtingen via klanten die wel onder de regelgeving vallen en contractueel strengere eisen betreffende cybersecurity aan leveranciers opleggen.

‘Vertrouwensdienst’ wordt in artikel 3, 16 van Verordening (EU) nr. 910/2014 gedefinieerd als: ‘een elektronische dienst die gewoonlijk tegen betaling wordt verricht en het onderstaande inhoudt: 

a) het aanmaken, verifiëren en valideren van elektronische handtekeningen, elektronische zegels of elektronische tijdstempels, diensten voor elektronisch aangetekende bezorging en op deze diensten betrekking hebbende certificaten.

b) het aanmaken, verifiëren en valideren van certificaten voor authenticatie van websites.

c) het bewaren van elektronische handtekeningen, zegels of certificaten die op deze diensten betrekking hebben.

Onder de sector ‘Gezondheidszorg’ vallen volgende type entiteiten: 

• Zorgaanbieders
• EU-referentielaboratoria
• Entiteiten die onderzoeks- en ontwikkelingsactiviteiten uitvoeren m.b.t. geneesmiddelen
• Entiteiten die farmaceutische basisproducten en bereidingen vervaardigen
• Entiteiten die medische hulpmiddelen vervaardigen die in het kader van de noodsituatie op het gebied van volksgezondheid als kritiek worden beschouwd Mogelijks kan een sociaal secretariaat die een managed service aanbiedt aan de hand van een tool of systeem vallen onder ‘Beheer van ICT-diensten (B2B). Zie hoofdstuk 1.22.7 van de FAQ van het CCB voor meer toelichting.

Volgens het CyberFundamentals Framework Conformity Assessment Scheme wordt elke juridische entiteit (dochtervennootschap) als een aparte organisatie beschouwd. Het framework stelt dat de organisatie die het label aanvraagt een Belgische rechtspersoon moet zijn. De beoordeling en het label zijn dus daarmee gekoppeld aan de specifieke juridische entiteit die de aanvraag doet. Een holding kan niet één label behalen dat automatisch geldt voor alle dochtervennootschappen, tenzij deze als één juridische entiteit worden beschouwd of als één geheel worden beoordeeld binnen de scope. 

Indien geopteerd wordt voor de ISO 27001-benadering, geldt dat een managementsysteem wordt ge-audit waar meerdere locaties onder kunnen vallen. Het kan ook zijn dat een managementsysteem meerdere entiteiten omvat.

Klopt, er zijn uitzonderingen. Bepaalde entiteiten vallen onder NIS2, ongeacht hun omvang, zoals: 

• Gekwalificeerde aanbieders van vertrouwensdiensten (essentieel)
• Niet-gekwalificeerde verleners van vertrouwensdiensten (belangrijk voor micro-, kleine of middelgrote ondernemingen en essentieel voor grote ondernemingen)
• DNS-serviceproviders (essentieel)
• TLD-naamregisters (essentieel)
• Domeinnaamregistratiediensten (alleen voor de registratieverplichting)
• Aanbieders van openbare elektronische communicatienetwerken (essentieel) • Aanbieders van openbare elektronische communicatiediensten (essentieel)
• Entiteiten die zijn aangemerkt als exploitanten van kritieke infrastructuur overeenkomstig de wet van 1 juli 2011 inzake de beveiliging en bescherming van kritieke infrastructuur (essentieel)
• Overheden die van de Federale Staat afhangen (essentieel). Daarnaast kan het CCB organisaties aanduiden als een essentiële of belangrijke entiteit, bijvoorbeeld wanneer zij de enige aanbieder van een dienst is of wanneer een verstoring van de geleverde diensten aanzienlijke gevolgen hebben voor de openbare veiligheid, de openbare beveiliging of de volksgezondheid.

NIS2 betreft een Europese richtlijn, maar de implementatie gebeurt op nationaal niveau. Het CyFun-label geldt enkel in België. Daarnaast hebben Ierland en Roemenië dit framework eveneens erkend. Per land zal je dus moeten nagaan welke nationale en internationale frameworks erkend worden om NIS2-compliance aan te tonen.

ISO 27001-certificering toont een hoog niveau van informatiebeveiliging aan, maar bedrijven mogen aanvullende vragen stellen om te verifiëren of uw scope en maatregelen aansluiten bij hun eigen risicobeheer. Het invullen van vragenlijsten blijft dus mogelijk, al kan een ISO 27001-certificaat veel vragen beantwoorden.