earth
Get a demo
Log in

NIS2 is live: wat bestuursaansprakelijkheid betekent voor uw bedrijf in België

NIS2 is live in België. CEO's en bestuursleden worden persoonlijk aansprakelijk gesteld. Leer hoe u uw organisatie en toeleveringsketen kunt beveiligen met een uniform SASE-platform.
A tense boardroom meeting in Brussels overlooking the EU quarter, showing a stressed CEO and concerned board members discussing NIS2 personal liability risks, a compliance challenge that Jimber helps manage.

België heeft NIS2 omgezet in nationale wetgeving in april 2024, maanden eerder dan de meeste EU-lidstaten. Als uw organisatie onder het uitgebreide toepassingsgebied van de richtlijn valt, is er al sprake van handhaving. Bestuursleden kunnen nu persoonlijk aansprakelijk worden gesteld voor inadequate cyberbeveiligingsmaatregelen, met boetes die kunnen oplopen tot €10 miljoen of 2% van de wereldwijde omzet.

Dit is geen IT-probleem. Het is een probleem in de directiekamer.

Snel overzicht: NIS2-aansprakelijkheid in zes punten

  • NIS2 strekt zich niet alleen uit tot kritieke infrastructuur, maar ook tot “belangrijke” entiteiten zoals productie, voedselproductie, afvalbeheer en postdiensten.

  • België leidt handhaving in Europa, met nationale wet actief sinds april 2024

  • CEO’s en bestuursleden kunnen persoonlijk aansprakelijk worden gesteld voor het niet goedkeuren van en toezicht houden op beveiligingsmaatregelen

  • Maximumboetes lopen op tot €10 miljoen of 2% van de wereldwijde jaaromzet

  • Artikel 21 vereist dat organisaties de veiligheidsrisico ’s van de toeleveringsketen van directe leveranciers beheren

  • Grote ondernemingen eisen nu bewijs op het gebied van beveiliging van hun MKB-partners, waardoor compliance in de hele waardeketen onder druk komt te staan.

Waarom NIS2 het gesprek verandert

Eerdere EU-regelgeving op het gebied van cyberbeveiliging was beperkt tot exploitanten van essentiële diensten. Energiebedrijven, banken, zorgverleners. NIS2 breidt de definitie drastisch uit. Een middelgrote fabrikant die auto-onderdelen levert valt nu onder dezelfde regelgeving als een elektriciteitsnetbeheerder.

De verschuiving van “kritieke” naar “belangrijke” entiteiten overvalt veel organisaties. Voedselproducenten, afvalverwerkingsbedrijven, postdiensten en brede productiesectoren zijn nu onderworpen aan verplichte beveiligingseisen en meldingsplichten voor incidenten.

De vroegtijdige omzetting door België betekent dat lokale bedrijven niet kunnen wachten op andere lidstaten om de implementatiedetails te verduidelijken. De regels zijn nu van toepassing. Toezichthouders hebben de bevoegdheid om audits uit te voeren, onderzoeken in te stellen en sancties op te leggen.

Persoonlijke aansprakelijkheid voor bestuursleden

NIS2 introduceert iets nieuws in de Europese regelgeving op het gebied van cyberbeveiliging: directe aansprakelijkheid op directieniveau. Bestuursleden die verzuimen om passende beveiligingsmaatregelen goed te keuren of die hun toezichthoudende verantwoordelijkheden verwaarlozen, kunnen persoonlijk aansprakelijk worden gesteld.

Dit gaat verder dan bedrijfsboetes. Individuele bestuurders worden geconfronteerd met professionele consequenties en mogelijke persoonlijke financiële blootstelling. De regelgeving vereist dat bestuursorganen training krijgen om de risico’s van cyberbeveiliging te begrijpen. Onwetendheid is niet langer een geldig verweer.

De bedoeling is duidelijk. Beslissingen over cyberbeveiliging horen thuis in de bestuurskamer, niet in IT-budgetten. Als er een inbreuk plaatsvindt, zullen toezichthouders vragen wat het bestuur wist, wat ze goedkeurden en hoe ze de implementatie controleerden.

Categorie Voorbeelden per sector Maximale boete Aansprakelijkheidsmodel
Essentiële entiteiten Energie, transport, bankwezen, gezondheidszorg, water €10M of 2% omzet Persoonlijke aansprakelijkheid voor bestuursleden
Belangrijke entiteiten Voedsel, afval, productie, post €7M of 1,4% omzet Ex-post toezicht

Beveiliging van de bevoorradingsketen volgens artikel 21

Artikel 21 schept verplichtingen die verder reiken dan uw eigen organisatie. U bent niet alleen verantwoordelijk voor uw interne beveiliging, maar ook voor de risico’s die worden geïntroduceerd door uw directe leveranciers. Dit “zorgplichtprincipe” dwingt organisaties om de beveiligingspraktijken van hun partners te evalueren, te controleren en te documenteren.

Voor grote bedrijven die als essentiële entiteiten zijn geclassificeerd, betekent dit dat ze van elke leverancier in de keten rigoureus beveiligingsbewijs eisen. Het effect sijpelt door naar KMO’s die voorheen misschien zonder formele beveiligingskaders werkten. Een productiebedrijf met 150 werknemers moet plotseling aantonen dat het aan de eisen voldoet, omdat zijn grootste klant dit eist voor zijn eigen NIS2-verplichtingen.

Dit creëert zowel druk als kansen. KMO’s die duidelijke, controleerbare beveiligingscontroles kunnen aantonen, krijgen een concurrentievoordeel. KMO’s die dat niet kunnen, lopen het risico contracten te verliezen met grotere partners die te maken hebben met hun eigen wettelijke verplichtingen.

Veelgemaakte nalevingsfouten

  • NIS2 behandelen als een IT-project. De regelgeving vereist expliciet betrokkenheid op bestuursniveau. Als je alles delegeert aan de IT-afdeling en één keer per jaar je handtekening zet, zijn de accountants niet tevreden. Bestuursleden moeten de maatregelen begrijpen, het budget goedkeuren en voortdurend toezicht houden.

  • Vereisten voor de toeleveringsketen negeren. Veel organisaties richten zich volledig op interne controles en negeren de artikel 21-verplichtingen. Als toezichthouders een incident onderzoeken, zullen ze onderzoeken hoe je de risico’s voor leveranciers hebt beoordeeld en beheerd.

  • Ervan uitgaande dat compliance wordt overgedragen van andere raamwerken. Een ISO 27001-certificering helpt, maar voldoet niet automatisch aan de vereisten van NIS2. De regelgeving vereist specifieke tijdlijnen voor het melden van incidenten, risicobeheer voor de toeleveringsketen en aantoonbare verantwoordelijkheid van het bestuur die bestaande certificeringen mogelijk niet volledig afdekken.

  • Wachten op handhavingsacties elders. Sommige organisaties nemen een afwachtende houding aan in de hoop te leren van de fouten van anderen. Aangezien België al in de handhavingsmodus zit, houdt deze strategie een aanzienlijk risico in. Vroegtijdige naleving biedt ook commerciële voordelen wanneer grotere partners hun toeleveringsketens evalueren.

  • Vertrouwen op puntoplossingen zonder centrale zichtbaarheid. NIS2 vereist dat organisaties aantonen dat ze passende “technische en organisatorische maatregelen” hebben genomen. Een lappendeken van losgekoppelde beveiligingstools maakt het moeilijk om de uniforme logging, documentatie over toegangscontrole en bewijs voor het afdwingen van beleid te leveren die auditors verwachten.

Hoe Europese leveranciers datasoevereiniteit aanpakken

Amerikaanse beveiligingsleveranciers staan voor structurele uitdagingen met NIS2-compliance. De Amerikaanse Cloud Act geeft Amerikaanse autoriteiten brede toegang tot gegevens van Amerikaanse bedrijven, ongeacht waar die gegevens fysiek zijn opgeslagen. Dit zorgt voor spanning met Europese vereisten voor gegevensbescherming en de Schrems II-uitspraak die Privacy Shield ongeldig maakte.

Voor organisaties die hun beveiligingsstapel evalueren, is gegevenssoevereiniteit belangrijk. Regelgevers verwachten duidelijke antwoorden over waar gegevens zich bevinden, wie er toegang toe heeft en binnen welke juridische kaders. Leveranciers met een Europees hoofdkantoor, zoals Jimber, vermijden deze juridische complicaties volledig.

Een transparante architectuur vereenvoudigt ook het proces van bewijsvoering voor compliance. Wanneer auditors vragen hoe je de toegang tot gevoelige systemen controleert, geeft één beheerconsole met uniforme logging duidelijkere antwoorden dan een verzameling tools van verschillende leveranciers met afzonderlijke beleidsengines en logboekformaten.

Praktisch scenario: een Belgische fabrikant

Neem een productiebedrijf met 200 werknemers, drie productielocaties en een netwerk van industriële controllers die productielijnen beheren. Ze leveren onderdelen aan OEM’s in de auto-industrie die zelf geclassificeerd zijn als essentiële entiteiten onder NIS2.

Hun grootste klant eist nu jaarlijkse beveiligingsbeoordelingen en bewijs van toegangscontroles. Het IT-team van vier mensen beheert alles, van e-mail tot de HMI-systemen op de fabrieksvloer.

Bij de traditionele aanpak zouden er aparte oplossingen zijn voor toegang op afstand, webbeveiliging, connectiviteit op de site en isolatie van het productienetwerk. Meerdere consoles, meerdere beleidstalen, meerdere logformaten. Wanneer de auditor van de klant vraagt om bewijs van toegangscontrole met minimale privileges, is het IT-team dagen bezig met het verzamelen van informatie uit verschillende systemen.

Een Unified SASE platform verandert deze vergelijking. Zero Trust Network Access (ZTNA) vervangt brede VPN-verbindingen door applicatiespecifieke toegang gekoppeld aan de identiteit van de gebruiker. Een Secure Web Gateway met Browser Isolatie dwingt consistente beleidsregels af op alle locaties, zodat ransomware het eindpunt niet kan bereiken. Netwerkcontrollers verbinden productiefaciliteiten met versleutelde site-to-site verbindingen. Agentless apparaten zoals PLC’s en HMI’s zitten achter inline netwerkisolatie (NIAC) die precies controleert welk verkeer ze kunnen verzenden en ontvangen.

Dit alles is zichtbaar in één console. Als de auditor vragen stelt, komen de antwoorden van één plek. Beleidswijzigingen hebben duidelijke audit trails. Toegangsbeslissingen worden vastgelegd met gebruikersidentiteit, apparaatstatus en tijdstempel.

Het IT-team van vier personen kan dit daadwerkelijk beheren. Ze zijn hun tijd niet kwijt met het correleren van logs van vijf verschillende systemen of het onderhouden van complexe firewallregelsets die niemand meer helemaal begrijpt.

Je NIS2-onderwijspakket samenstellen

  • Begin met wat auditors zullen vragen. Documenteer uw beveiligingsmaatregelen, wie ze heeft goedgekeurd en wanneer. Houd duidelijke gegevens bij over de betrokkenheid van het bestuur bij beslissingen over cyberbeveiliging. Dit omvat notulen van vergaderingen, budgetgoedkeuringen en trainingsgegevens.

  • Breng je toeleveringsketen in kaart en documenteer hoe je de beveiliging van leveranciers beoordeelt. Dit vereist geen perfecte informatie over elke leverancier, maar wel een proces. Welke leveranciers hebben toegang tot uw systemen of gegevens? Hoe beoordeelt u hun beveiliging? Welke contractuele vereisten leg je op?

  • Implementeer technische controles die het bewijs opleveren dat je nodig hebt. Gecentraliseerd loggen legt toegangsbeslissingen en beleidswijzigingen vast. Identiteitsgebaseerde toegangscontrole demonstreert least-privilege principes. Device posture checks laten zien dat u de beveiliging van endpoints controleert voordat u toegang verleent.

  • Test uw incidentresponsproces. NIS2 legt strikte rapportagetermijnen op. U moet incidenten snel detecteren, de impact ervan beoordelen en binnen 24 uur rapporteren aan de autoriteiten voor belangrijke gebeurtenissen. Driemaandelijkse oefeningen helpen om hiaten te identificeren voordat een echt incident ze blootlegt.

FAQ

Is NIS2 van toepassing op mijn organisatie?

Als je in de EU actief bent met meer dan 50 werknemers of een omzet van €10 miljoen, en je sector valt onder het uitgebreide toepassingsgebied (energie, transport, banken, gezondheidszorg, digitale infrastructuur, productie, voedsel, afval, post, chemicaliën, onderzoek), dan kom je waarschijnlijk in aanmerking als een essentiële of belangrijke entiteit.

Wat gebeurt er als we ons niet aan de regels houden?

Essentiële entiteiten riskeren boetes tot € 10 miljoen of 2% van de wereldwijde omzet, plus mogelijke persoonlijke aansprakelijkheid voor bestuursleden. Belangrijke entiteiten krijgen te maken met €7 miljoen of 1,4% van de omzet met toezicht achteraf in plaats van proactieve audits.

Hoe beïnvloedt NIS2 onze relaties met grotere klanten?

Grote ondernemingen die zijn geclassificeerd als essentiële entiteiten moeten de veiligheidsrisico’s van de toeleveringsketen beheren. Ze zullen in toenemende mate eisen dat leveranciers aantonen dat ze aan de eisen voldoen door middel van beoordelingen, certificeringen of contractuele verplichtingen. Leveranciers die zich niet aan de regels houden, lopen het risico contracten te verliezen.

Kunnen we aan NIS2 voldoen met onze bestaande ISO 27001-certificering?

ISO 27001 biedt een sterke basis, maar voldoet niet automatisch aan alle vereisten van NIS2. De regelgeving stelt specifieke eisen aan de tijdlijnen voor het melden van incidenten, de verantwoordelijkheid van het bestuur en het risicobeheer van de toeleveringsketen, waarvoor aanvullende maatregelen nodig kunnen zijn, zoals de implementatie van Zero Trust.

Welke technische controles heeft NIS2 nodig?

De verordening vraagt om passende technische en organisatorische maatregelen zonder specifieke technologieën voor te schrijven. In de praktijk verwachten auditors toegangscontrole (ZTNA), logging, incidentdetectie, netwerkbeveiliging en risicobeheer van de toeleveringsketen. Het belangrijkste is om aan te tonen dat deze controles bestaan, werken zoals bedoeld en onder toezicht staan van de raad van bestuur.

Hoe gaan we om met OT- en industriële systemen onder NIS2?

Productieapparatuur kan vaak geen beveiligingsagenten uitvoeren, maar heeft toch bescherming nodig. Inline netwerkisolatie creëert een veilige brug tussen IT- en OT-omgevingen en regelt precies welk verkeer van en naar industriële controllers stroomt zonder de productieactiviteiten te verstoren.

Neem het gesprek over compliance mee naar de raad van bestuur

NIS2 maakt van cyberbeveiliging een bestuurlijke kwestie. Bestuursleden moeten inzicht hebben in hun persoonlijke blootstelling en de maatregelen die zowel de organisatie als henzelf beschermen. Een Unified SASE-platform vereenvoudigt zowel de implementatie als het bewijsspoor dat auditors verwachten.

Boek een gesprek om te bespreken hoe uw organisatie NIS2-naleving kan aantonen zonder de operationele complexiteit te vergroten.

Find out how we can protect your business

In our demo call we’ll show you how our technology works and how it can help you secure your data from cyber threats.

Get a demo
Contact us
Cybersecurity
Are you an integrator or distributor?

Need an affordable cybersecurity solution for your customers?

We’d love to help you get your customers on board.

Explore our partnerships
checkmark

White glove onboarding

checkmark

Team trainings

checkmark

Dedicated customer service rep

checkmark

Invoices for each client

checkmark

Security and Privacy guaranteed