Veel bedrijven niet klaar voor zware eisen van NIS2

6 juni 2025

De Belgische regering heeft in 2024 als een van de eerste Europese landen de richtlijn rond de veilig­heid van Network & Infor­ma­tion Security (NIS2) goed­ge­keurd. Dat houdt in dat essen­tiële en belang­rijke orga­ni­sa­ties maat­re­gelen moeten nemen om de veilig­heid van hun infor­ma­ti­ca­sys­temen te verbe­teren. Een speci­fieke inter­pre­tatie door de Belgische overheid maakt dat ook vrij kleine bedrijven die zelf energie produ­ceren, ook aan die strenge regels moeten voldoen. 

Wat is NIS2?

NIS2 is een EU richtlijn op het gebied van cyber­se­cu­rity voor essen­tiële en belang­rijke orga­ni­sa­ties. Het doel van de Europese Commissie is het verhogen van de cyber­weer­baar­heid van orga­ni­sa­ties waarvan de uitval van dienst­ver­le­ning een ontwrich­tende impact op de samen­le­ving heeft. Het gaat om een direc­tieve, die door de lidstaten nog moet omgezet worden in lokale wetgeving. België heeft als eerste Europese land NIS2 al volledig ingevoerd. Meer dan de helft van de andere Europese landen is op dit ogenblik (begin mei 2025) nog niet klaar. 

De betrokken orga­ni­sa­ties moeten voldoen aan een zorg­plicht en een meldplicht. 

  • Zorg­plicht. De orga­ni­sa­ties moeten tien cyber­se­cu­rity maat­re­gelen imple­men­teren, waaronder een cyber incident response plan en een beleid gericht op het bewust cyber­veilig handelen van medewerkers.
  • Meld­plicht. De betrokken orga­ni­sa­ties zijn ook verplicht om inci­denten die aanzien­lijke gevolgen hebben voor de dienst­ver­le­ning, te melden bij het Computer Security Incident Response Team (CSIRT) of de sector­spe­ci­fieke toezichthouder.

Deze toezicht­houder – in België het Centre for Cyber­se­cu­rity Belgium (CCB) – monitort of aan de zorg- en meld­plicht wordt voldaan. Dat gebeurt proactief voor essen­tiële orga­ni­sa­ties. Belang­rijke orga­ni­sa­ties zijn onder­worpen aan een reactieve moni­to­ring nadat er een incident is geweest.

Essentieel en belangrijk

Het verschil tussen die essen­tiële en belang­rijke orga­ni­sa­ties heeft te maken met de mogelijke impact op de maat­schappij die een uitval tijdens of na een cybe­rin­ci­dent kan hebben. De Europese Commissie had in NIS1 al voorzien dat sectoren als gezond­heids­zorg, transport, energie, digitale dienst­ver­le­ning, banken en finan­ciële markt­in­fra­struc­tuur, digitale infra­struc­tuur en water­maat­schap­pijen als essen­tieel worden gezien. 

Met NIS2 zijn daar sectoren aan toege­voegd die de Europese Commissie als belang­rijk cata­lo­geert: voeding, ruim­te­vaart, overheid, post en koeriers­dien­sten, leve­ran­ciers van elek­tro­ni­sche commu­ni­ca­tie­net­werken en ‑diensten, afval­wa­ter­ver­wer­king, digitale diensten zoals sociale netwerken en fabri­kanten van kritische producten.

In NIS2 geldt daarbij een belang­rijke beperking: de kleinste orga­ni­sa­ties vallen niet onder deze verplich­ting. Daarbij hanteert de overheid de Europese regels voor kmo’s: minder dan 50 perso­neels­leden en minder dan 9 miljoen euro omzet. 

Dat houdt hoe dan ook in dat zeer veel bedrijven wél aan die regels moeten voldoen. Een analyse van Grant Thornton maakt duidelijk dat in elk geval tussen de 5.000 en de 10.000 bedrijven in België moeten voldoen aan de regelgeving. 

Met zonnepanelen word je een energiebedrijf

De speci­fieke Belgische inter­pre­tatie van de Europese richtlijn vergroot dat aantal echter nog eens aanzien­lijk. Ook orga­ni­sa­ties die zelf energie opwekken – met zonne­pa­nelen bijvoor­beeld of een eigen windmolen – komen daardoor in de categorie van de essen­tiële bedrijven die aan de strenge eisen moeten voldoen. Bijvoor­beeld: een bouw­be­drijf met een magazijn voor de opslag van toestellen en mate­ri­alen valt in eerste instantie niet onder de regels. Maar zodra er zonne­pa­nelen in eigen beheer op het dak liggen, wordt de aannemer meteen ook een ener­gie­le­ve­ran­cier en dus een essen­tieel bedrijf. 

Daardoor zullen duizenden extra bedrijven aan de regels van NIS moeten voldoen, wat ingrij­pende gevolgen heeft voor deze orga­ni­sa­ties. Ook voor de dienst­ver­le­ners die hen daarbij kunnen helpen en de controle-instan­ties is het alle hens aan dek. 

Die bedrijven zien zich dan verplicht om geschikte hardware en software aan te kopen om de bevei­li­ging te reali­seren. Maar ze hebben ook nood aan heel wat mensen met de juiste expertise. In een omgeving waarin cyber­ex­perten dun gezaaid zijn en waarin de tools voor cyber­se­cu­rity steeds duurder worden, kan het niet anders dat de kosten voor het voldoen aan deze regels de pan zullen uit swingen. Zeker kleine orga­ni­sa­ties zullen hun budgetten voor IT en veilig­heid fors moeten optrekken. Grant Thornton gaat ervan uit dat het vaak om meer dan een verdub­be­ling zal gaan.

Wat is nodig? 

Zoals gezegd is de belang­rijkste doel­stel­ling van de overheid om de weer­baar­heid van bedrijven te waar­borgen en verbe­teren, beschermen van IT-systemen is daar een middel toe. Belang­rijk is alvast de plicht om inci­denten snel te melden en op die manier de maat­schappij te waar­schuwen dat er iets aan de hand is, zodat men zelf ook waakzaam kan zijn. Maar orga­ni­sa­ties moeten in de eerste plaats inzetten op de preventie binnen het kader van de zorg­plicht. Daarbij hoort een lijst met tien zaken om te realiseren:

  1. Beleid voor passende maat­re­gelen tegen cyberdreigingen
  2. Cyber Incident Management
  3. Cyber Incident Response Plan
  4. Cyber­se­cu­rity maat­re­gelen bij leveranciers
  5. Cyber­se­cu­rity eisen voor alle op het netwerk aange­sloten apparatuur
  6. Vermin­de­ring van cyberrisiconiveau
  7. Bewust cyber­veilig handelen van medewerkers
  8. Gebruiken van cryp­to­gra­fi­sche technieken
  9. Identity & Access Mana­ge­ment en Asset Management
  10. Aanvul­lende maat­re­gelen voor bescher­ming van vertrou­we­lijke gegevens of communicatie.

Voor advies­bu­reau Grant Thornton betekent dit een continu programma dat de hele orga­ni­satie en alle mede­wer­kers blijvend bewust maakt van de mogelijke risico’s van cyber­aan­vallen en data­dief­stal. Een belang­rijke doel­stel­ling is dat perso­neels­leden hun gedrag gaan veran­deren in functie van de weer­baar­heid van de organisatie. 

Een groot deel van het werk is echter ook admi­ni­stra­tief: opvolgen van de acti­vi­teiten op het netwerk en het uitwerken van de maat­re­gelen die nodig zijn, zowel intern als extern, onder andere bij de leve­ran­ciers. In de praktijk zullen heel wat orga­ni­sa­ties gebruik maken van een rekenblad dat het Centre for Cyber­se­cu­rity Belgium ter beschik­king stelt. Belang­rijk is wel dat het bedrijf zelf de verant­woor­de­lijk­heid moet nemen voor de bevei­li­ging van zijn tech­no­logie (IT en OT) en dus de controle daarop zelf moet uitoe­fenen en dat niet kan uitbesteden. 

Gelukkig zijn zeker de grotere orga­ni­sa­ties al ver gevorderd met hun voor­be­rei­dingen. Ze hebben van oudsher al een aantal zaken gere­a­li­seerd, zodat ze niet van nul moeten starten. Maar de grote uitdaging is dan de snelheid waarmee alles moet gebeuren. De overheid legt strikte deadlines op. Al op 18 april 2026 moeten de betrokken bedrijven een verkla­ring afleggen dat ze voldoen aan de belang­rijkste regels. Ze hebben nog een jaar meer om te voldoen aan ook de meest strin­gente eisen. In 2027 moeten ze dan een certi­fi­caat van een externe controle-instantie voorgelegen.

Hoe pakken bedrijven dit aan?

De grotere orga­ni­sa­ties die al langer werkten aan hun cyber­be­vei­li­ging gebruiken meestal de bestaande ISO27001-norm als refe­rentie. Het is een raamwerk met regels voor de imple­men­tatie van een infor­ma­tion security mana­ge­ment systeem. ISO27001 bevat eisen rond beleids­lijnen, proce­dures, maar ook de inzet van tech­no­logie en fysieke maat­re­gelen die een orga­ni­satie kan gebruiken om zijn data te beschermen.

Het CCB heeft ook het ‘CyberFundamentals’-raamwerk ontwik­keld, dat orga­ni­sa­ties duide­lijke en prag­ma­ti­sche sturing geeft om te voldoen aan de regels van NIS2. CyFun is een combi­natie van diverse inter­na­ti­o­nale normen en raam­werken rond cyber.

Die norm vormt ook de basis van oplos­singen die externe partijen aanbieden om bedrijven te helpen bij het invoeren van NIS2. Onder andere de cyber­be­vei­li­gingstool Cyber­Hunter van Grant Thornton gebruikt de norm als kader.

Sancties en boetes

Een belang­rijke stok achter de deur is dat de toezicht­houder zeer strenge sancties kan opleggen aan orga­ni­sa­ties die geen actie onder­nemen. Essen­tiële orga­ni­sa­ties riskeren daarbij een maximale boete van ten minste 10 miljoen euro of 2% van de wereld­wijde jaaromzet in het voor­gaande boekjaar, afhan­ke­lijk van welk bedrag hoger is. Voor belang­rijke orga­ni­sa­ties geldt een maximale boete van ten minste 7 miljoen euro of 1,4% van de wereld­wijde jaaromzet, eveneens afhan­ke­lijk van welk bedrag hoger uitvalt.

Bovendien kan voor essen­tiële orga­ni­sa­ties een certi­fi­ce­ring of vergun­ning tijdelijk worden opge­schort of kan een leiding­ge­vende op het niveau van de algemeen directeur of de wette­lijke verte­gen­woor­diger tijdelijk worden geschorst.

Voor Grant Thornton is het duidelijk dat zeker die laatste bepa­lingen over de verant­woor­de­lijk­heid van de bedrijfstop impact zullen hebben. Daardoor zal het mana­ge­ment die verplich­tingen hopelijk heel erg au sérieux nemen.

Het is aan de bedrijven om zich nu voor te bereiden op de invoering van deze ingrij­pende maat­re­gelen. De tijd dringt. 

redactie@belgiumcloud

Persberichten, blogs en andere content kunt u mailen naar robbert@belgiumcloud.com

compliance Grant Thornton legal NIS2

Pin It on Pinterest

Share This