NIS2 is van kracht: wat moet uw organisatie nu écht doen?

NIS2 is Europese wetgeving die inmiddels ook in België van kracht is. Veel bedrijven horen de naam, weten dat het iets met cybersecurity te maken heeft, en vragen zich af of het op hen van toepassing is en wat ze dan moeten doen.

We leggen het simpel uit.

Geldt dit voor uw bedrijf?

Waarschijnlijk ja, als u in een bepaalde sector werkt en minstens 50 medewerkers heeft of meer dan 10 miljoen euro omzet draait.

Denk aan: energie, transport, gezondheidszorg, voeding, chemie, afvalbeheer, IT-dienstverlening, overheidsdiensten en nog een tiental andere sectoren. De lijst is vrij breed.

Twijfelt u? Dan is dat al reden genoeg om het uit te zoeken. De boetes bij niet-naleving lopen hoog op.

Wat vraagt NIS2 concreet van u?

Vertaald naar mensentaal: u moet kunnen aantonen dat u uw digitale beveiliging serieus neemt.

U weet wat uw risico’s zijn. Niet uit uw hoofd, maar op papier. Welke systemen zijn kritiek? Wat gebeurt er als die uitvallen? Wat zijn de grootste bedreigingen voor uw organisatie?

U heeft basismaatregelen getroffen. Denk aan: twee-staps verificatie op alle accounts, goede back-ups die u ook effectief test, een procedure voor als er iets misgaat.

U let op uw leveranciers. Als uw IT-partner of softwareleverancier een probleem heeft, kan dat rechtstreeks impact hebben op uw bedrijf. NIS2 vraagt dat u daar bewust mee omgaat.

U kunt een incident melden. Als er iets ernstig misgaat, heeft u 24 uur om dit te melden bij de overheid (CCB). Niet na een week, niet nadat uw advocaat de tekst herschreven heeft. 24 uur.

Uw directie is betrokken. Dit is misschien het meest opvallende: NIS2 legt de verantwoordelijkheid ook bij het management, niet alleen bij de IT-afdeling. Bestuurders kunnen persoonlijk aansprakelijk gesteld worden.

Hoe pakt u dit aan?

Begin met een eerlijke blik op waar u nu staat. Wat heeft u al, wat ontbreekt er nog? Dat is gewoon een checklist van wat er is en wat er niet is.

Daarna pakt u de grootste hiaten eerst aan. Twee-staps verificatie, back-ups die werken, een basisprocedure voor incidenten. Dat zijn geen maandenlange projecten. Dat zijn dingen die u in weken kunt regelen.

Documentatie en beleid komen daarna. Die zijn nodig om aan te tonen dat u het serieus neemt.

Wat zijn de gevolgen als u niets doet?

De boetes kunnen oplopen tot 10 miljoen euro of 2% van uw wereldwijde omzet. De kans op zo’n maximale boete voor een gewone kmo is klein, als u tenminste ergens mee bezig bent.

Maar los van boetes: als er iets misgaat bij een organisatie die aantoonbaar niets deed aan beveiliging, zijn de gevolgen (reputatie, klanten, aansprakelijkheid) doorgaans groter dan het compliance-traject ooit had kunnen kosten.

---

Safebyte begeleidt Belgische bedrijven door dit traject, van begin tot einde, in begrijpelijk Nederlands. Bekijk onze NIS2-dienst of neem contact op voor een vrijblijvend gesprek.