Door onze site te bezoeken, ga je akkoord met ons privacybeleid met betrekking tot cookies, tracking statistieken, enz.

Veel bedrijven niet klaar voor zware eisen van NIS2

6 juni 2025

De Belgische regering heeft in 2024 als een van de eerste Europese landen de richtlijn rond de veiligheid van Network & Information Security (NIS2) goedgekeurd. Dat houdt in dat essentiële en belangrijke organisaties maatregelen moeten nemen om de veiligheid van hun informaticasystemen te verbeteren. Een specifieke interpretatie door de Belgische overheid maakt dat ook vrij kleine bedrijven die zelf energie produceren, ook aan die strenge regels moeten voldoen. 

Wat is NIS2?

NIS2 is een EU richtlijn op het gebied van cybersecurity voor essentiële en belangrijke organisaties. Het doel van de Europese Commissie is het verhogen van de cyberweerbaarheid van organisaties waarvan de uitval van dienstverlening een ontwrichtende impact op de samenleving heeft. Het gaat om een directieve, die door de lidstaten nog moet omgezet worden in lokale wetgeving. België heeft als eerste Europese land NIS2 al volledig ingevoerd. Meer dan de helft van de andere Europese landen is op dit ogenblik (begin mei 2025) nog niet klaar. 

De betrokken organisaties moeten voldoen aan een zorgplicht en een meldplicht. 

  • Zorgplicht. De organisaties moeten tien cybersecurity maatregelen implementeren, waaronder een cyber incident response plan en een beleid gericht op het bewust cyberveilig handelen van medewerkers.
  • Meldplicht. De betrokken organisaties zijn ook verplicht om incidenten die aanzienlijke gevolgen hebben voor de dienstverlening, te melden bij het Computer Security Incident Response Team (CSIRT) of de sectorspecifieke toezichthouder.

Deze toezichthouder – in België het Centre for Cybersecurity Belgium (CCB) – monitort of aan de zorg- en meldplicht wordt voldaan. Dat gebeurt proactief voor essentiële organisaties. Belangrijke organisaties zijn onderworpen aan een reactieve monitoring nadat er een incident is geweest.

Essentieel en belangrijk

Het verschil tussen die essentiële en belangrijke organisaties heeft te maken met de mogelijke impact op de maatschappij die een uitval tijdens of na een cyberincident kan hebben. De Europese Commissie had in NIS1 al voorzien dat sectoren als gezondheidszorg, transport, energie, digitale dienstverlening, banken en financiële marktinfrastructuur, digitale infrastructuur en watermaatschappijen als essentieel worden gezien. 

Met NIS2 zijn daar sectoren aan toegevoegd die de Europese Commissie als belangrijk catalogeert: voeding, ruimtevaart, overheid, post en koeriersdiensten, leveranciers van elektronische communicatienetwerken en -diensten, afvalwaterverwerking, digitale diensten zoals sociale netwerken en fabrikanten van kritische producten.

In NIS2 geldt daarbij een belangrijke beperking: de kleinste organisaties vallen niet onder deze verplichting. Daarbij hanteert de overheid de Europese regels voor kmo’s: minder dan 50 personeelsleden en minder dan 9 miljoen euro omzet. 

Dat houdt hoe dan ook in dat zeer veel bedrijven wél aan die regels moeten voldoen. Een analyse van Grant Thornton maakt duidelijk dat in elk geval tussen de 5.000 en de 10.000 bedrijven in België moeten voldoen aan de regelgeving. 

Met zonnepanelen word je een energiebedrijf

De specifieke Belgische interpretatie van de Europese richtlijn vergroot dat aantal echter nog eens aanzienlijk. Ook organisaties die zelf energie opwekken – met zonnepanelen bijvoorbeeld of een eigen windmolen – komen daardoor in de categorie van de essentiële bedrijven die aan de strenge eisen moeten voldoen. Bijvoorbeeld: een bouwbedrijf met een magazijn voor de opslag van toestellen en materialen valt in eerste instantie niet onder de regels. Maar zodra er zonnepanelen in eigen beheer op het dak liggen, wordt de aannemer meteen ook een energieleverancier en dus een essentieel bedrijf. 

Daardoor zullen duizenden extra bedrijven aan de regels van NIS moeten voldoen, wat ingrijpende gevolgen heeft voor deze organisaties. Ook voor de dienstverleners die hen daarbij kunnen helpen en de controle-instanties is het alle hens aan dek. 

Die bedrijven zien zich dan verplicht om geschikte hardware en software aan te kopen om de beveiliging te realiseren. Maar ze hebben ook nood aan heel wat mensen met de juiste expertise. In een omgeving waarin cyberexperten dun gezaaid zijn en waarin de tools voor cybersecurity steeds duurder worden, kan het niet anders dat de kosten voor het voldoen aan deze regels de pan zullen uit swingen. Zeker kleine organisaties zullen hun budgetten voor IT en veiligheid fors moeten optrekken. Grant Thornton gaat ervan uit dat het vaak om meer dan een verdubbeling zal gaan.

Wat is nodig? 

Zoals gezegd is de belangrijkste doelstelling van de overheid om de weerbaarheid van bedrijven te waarborgen en verbeteren, beschermen van IT-systemen is daar een middel toe. Belangrijk is alvast de plicht om incidenten snel te melden en op die manier de maatschappij te waarschuwen dat er iets aan de hand is, zodat men zelf ook waakzaam kan zijn. Maar organisaties moeten in de eerste plaats inzetten op de preventie binnen het kader van de zorgplicht. Daarbij hoort een lijst met tien zaken om te realiseren:

  1. Beleid voor passende maatregelen tegen cyberdreigingen
  2. Cyber Incident Management
  3. Cyber Incident Response Plan
  4. Cybersecurity maatregelen bij leveranciers
  5. Cybersecurity eisen voor alle op het netwerk aangesloten apparatuur
  6. Vermindering van cyberrisiconiveau
  7. Bewust cyberveilig handelen van medewerkers
  8. Gebruiken van cryptografische technieken
  9. Identity & Access Management en Asset Management
  10. Aanvullende maatregelen voor bescherming van vertrouwelijke gegevens of communicatie.

Voor adviesbureau Grant Thornton betekent dit een continu programma dat de hele organisatie en alle medewerkers blijvend bewust maakt van de mogelijke risico’s van cyberaanvallen en datadiefstal. Een belangrijke doelstelling is dat personeelsleden hun gedrag gaan veranderen in functie van de weerbaarheid van de organisatie. 

Een groot deel van het werk is echter ook administratief: opvolgen van de activiteiten op het netwerk en het uitwerken van de maatregelen die nodig zijn, zowel intern als extern, onder andere bij de leveranciers. In de praktijk zullen heel wat organisaties gebruik maken van een rekenblad dat het Centre for Cybersecurity Belgium ter beschikking stelt. Belangrijk is wel dat het bedrijf zelf de verantwoordelijkheid moet nemen voor de beveiliging van zijn technologie (IT en OT) en dus de controle daarop zelf moet uitoefenen en dat niet kan uitbesteden. 

Gelukkig zijn zeker de grotere organisaties al ver gevorderd met hun voorbereidingen. Ze hebben van oudsher al een aantal zaken gerealiseerd, zodat ze niet van nul moeten starten. Maar de grote uitdaging is dan de snelheid waarmee alles moet gebeuren. De overheid legt strikte deadlines op. Al op 18 april 2026 moeten de betrokken bedrijven een verklaring afleggen dat ze voldoen aan de belangrijkste regels. Ze hebben nog een jaar meer om te voldoen aan ook de meest stringente eisen. In 2027 moeten ze dan een certificaat van een externe controle-instantie voorgelegen.

Hoe pakken bedrijven dit aan?

De grotere organisaties die al langer werkten aan hun cyberbeveiliging gebruiken meestal de bestaande ISO27001-norm als referentie. Het is een raamwerk met regels voor de implementatie van een information security management systeem. ISO27001 bevat eisen rond beleidslijnen, procedures, maar ook de inzet van technologie en fysieke maatregelen die een organisatie kan gebruiken om zijn data te beschermen.

Het CCB heeft ook het ‘CyberFundamentals’-raamwerk ontwikkeld, dat organisaties duidelijke en pragmatische sturing geeft om te voldoen aan de regels van NIS2. CyFun is een combinatie van diverse internationale normen en raamwerken rond cyber.

Die norm vormt ook de basis van oplossingen die externe partijen aanbieden om bedrijven te helpen bij het invoeren van NIS2. Onder andere de cyberbeveiligingstool CyberHunter van Grant Thornton gebruikt de norm als kader.

Sancties en boetes

Een belangrijke stok achter de deur is dat de toezichthouder zeer strenge sancties kan opleggen aan organisaties die geen actie ondernemen. Essentiële organisaties riskeren daarbij een maximale boete van ten minste 10 miljoen euro of 2% van de wereldwijde jaaromzet in het voorgaande boekjaar, afhankelijk van welk bedrag hoger is. Voor belangrijke organisaties geldt een maximale boete van ten minste 7 miljoen euro of 1,4% van de wereldwijde jaaromzet, eveneens afhankelijk van welk bedrag hoger uitvalt.

Bovendien kan voor essentiële organisaties een certificering of vergunning tijdelijk worden opgeschort of kan een leidinggevende op het niveau van de algemeen directeur of de wettelijke vertegenwoordiger tijdelijk worden geschorst.

Voor Grant Thornton is het duidelijk dat zeker die laatste bepalingen over de verantwoordelijkheid van de bedrijfstop impact zullen hebben. Daardoor zal het management die verplichtingen hopelijk heel erg au sérieux nemen.

Het is aan de bedrijven om zich nu voor te bereiden op de invoering van deze ingrijpende maatregelen. De tijd dringt. 

redactie@belgiumcloud

redactie@belgiumcloud

Persberichten, blogs en andere content kunt u mailen naar robbert@belgiumcloud.com
compliance Grant Thornton legal NIS2

Pin It on Pinterest

Share This