Belgi\u00eb heeft NIS2 omgezet in nationale wetgeving in april 2024, maanden eerder dan de meeste EU-lidstaten. Als uw organisatie onder het uitgebreide toepassingsgebied van de richtlijn valt, is er al sprake van handhaving. Bestuursleden kunnen nu persoonlijk aansprakelijk worden gesteld voor inadequate cyberbeveiligingsmaatregelen, met boetes die kunnen oplopen tot \u20ac10 miljoen of 2% van de wereldwijde omzet. <\/p>\n
Dit is geen IT-probleem. Het is een probleem in de directiekamer. <\/p>\n
NIS2<\/b> strekt zich niet alleen uit tot kritieke infrastructuur, maar ook tot “belangrijke” entiteiten zoals productie<\/b>, voedselproductie, afvalbeheer en postdiensten.<\/p>\n<\/li>\n Belgi\u00eb<\/b> leidt handhaving in Europa, met nationale wet actief sinds april 2024<\/p>\n<\/li>\n CEO’s en bestuursleden<\/b> kunnen persoonlijk aansprakelijk worden gesteld<\/b> voor het niet goedkeuren van en toezicht houden op beveiligingsmaatregelen<\/p>\n<\/li>\n Maximumboetes lopen op tot \u20ac10 miljoen of 2% van de wereldwijde jaaromzet<\/p>\n<\/li>\n Artikel 21<\/b> vereist dat organisaties de veiligheidsrisico<\/b> ’s van de toeleveringsketen<\/b> van directe leveranciers beheren<\/p>\n<\/li>\n Grote ondernemingen eisen nu bewijs op het gebied van beveiliging van hun MKB-partners, waardoor compliance<\/b> in de hele waardeketen onder druk komt te staan.<\/p>\n<\/li>\n<\/ul>\n Eerdere EU-regelgeving op het gebied van cyberbeveiliging was beperkt tot exploitanten van essenti\u00eble diensten. Energiebedrijven, banken, zorgverleners. NIS2<\/b> breidt de definitie drastisch uit. Een middelgrote fabrikant die auto-onderdelen levert valt nu onder dezelfde regelgeving als een elektriciteitsnetbeheerder. <\/p>\n De verschuiving van “kritieke” naar “belangrijke” entiteiten overvalt veel organisaties. Voedselproducenten, afvalverwerkingsbedrijven, postdiensten en brede productiesectoren<\/b> zijn nu onderworpen aan verplichte beveiligingseisen en meldingsplichten voor incidenten. <\/p>\n De vroegtijdige omzetting door Belgi\u00eb betekent dat lokale bedrijven niet kunnen wachten op andere lidstaten om de implementatiedetails te verduidelijken. De regels zijn nu van toepassing. Toezichthouders hebben de bevoegdheid om audits uit te voeren, onderzoeken in te stellen en sancties op te leggen. <\/p>\n NIS2<\/b> introduceert iets nieuws in de Europese regelgeving op het gebied van cyberbeveiliging: directe aansprakelijkheid op directieniveau. Bestuursleden<\/b> die verzuimen om passende beveiligingsmaatregelen goed te keuren of die hun toezichthoudende verantwoordelijkheden verwaarlozen, kunnen persoonlijk aansprakelijk worden gesteld.<\/p>\n Dit gaat verder dan bedrijfsboetes. Individuele bestuurders worden geconfronteerd met professionele consequenties en mogelijke persoonlijke financi\u00eble blootstelling. De regelgeving vereist dat bestuursorganen training krijgen om de risico’s van cyberbeveiliging<\/b> te begrijpen. Onwetendheid is niet langer een geldig verweer. <\/p>\n De bedoeling is duidelijk. Beslissingen over cyberbeveiliging horen thuis in de bestuurskamer, niet in IT-budgetten. Als er een inbreuk plaatsvindt, zullen toezichthouders vragen wat het bestuur wist, wat ze goedkeurden en hoe ze de implementatie controleerden. <\/p>\n Artikel 21<\/b> schept verplichtingen die verder reiken dan uw eigen organisatie. U bent niet alleen verantwoordelijk voor uw interne beveiliging, maar ook voor de risico’s die worden ge\u00efntroduceerd door uw directe leveranciers. Dit “zorgplichtprincipe” dwingt organisaties om de beveiligingspraktijken van hun partners te evalueren, te controleren en te documenteren. <\/p>\n Voor grote bedrijven die als essenti\u00eble entiteiten zijn geclassificeerd, betekent dit dat ze van elke leverancier in de keten rigoureus beveiligingsbewijs eisen. Het effect sijpelt door naar KMO’s die voorheen misschien zonder formele beveiligingskaders werkten. Een productiebedrijf<\/b> met 150 werknemers moet plotseling aantonen dat het aan de eisen voldoet, omdat zijn grootste klant dit eist voor zijn eigen NIS2-verplichtingen<\/b>. <\/p>\n Dit cre\u00ebert zowel druk als kansen. KMO’s die duidelijke, controleerbare beveiligingscontroles kunnen aantonen, krijgen een concurrentievoordeel. KMO’s die dat niet kunnen, lopen het risico contracten te verliezen met grotere partners die te maken hebben met hun eigen wettelijke verplichtingen. <\/p>\n NIS2 behandelen als een IT-project.<\/b> De regelgeving vereist expliciet betrokkenheid op bestuursniveau. Als je alles delegeert aan de IT-afdeling en \u00e9\u00e9n keer per jaar je handtekening zet, zijn de accountants niet tevreden. Bestuursleden moeten de maatregelen begrijpen, het budget goedkeuren en voortdurend toezicht houden. <\/p>\n<\/li>\n Vereisten voor de toeleveringsketen negeren.<\/b> Veel organisaties richten zich volledig op interne controles en negeren de artikel 21-verplichtingen<\/b>. Als toezichthouders een incident onderzoeken, zullen ze onderzoeken hoe je de risico’s voor leveranciers hebt beoordeeld en beheerd. <\/p>\n<\/li>\n Ervan uitgaande dat compliance wordt overgedragen van andere raamwerken.<\/b> Een ISO 27001-certificering helpt, maar voldoet niet automatisch aan de vereisten van NIS2<\/b>. De regelgeving vereist specifieke tijdlijnen voor het melden van incidenten, risicobeheer voor de toeleveringsketen<\/b> en aantoonbare verantwoordelijkheid van het bestuur die bestaande certificeringen mogelijk niet volledig afdekken. <\/p>\n<\/li>\n Wachten op handhavingsacties elders.<\/b> Sommige organisaties nemen een afwachtende houding aan in de hoop te leren van de fouten van anderen. Aangezien Belgi\u00eb<\/b> al in de handhavingsmodus zit, houdt deze strategie een aanzienlijk risico in. Vroegtijdige naleving biedt ook commerci\u00eble voordelen wanneer grotere partners hun toeleveringsketens evalueren. <\/p>\n<\/li>\n Vertrouwen op puntoplossingen zonder centrale zichtbaarheid.<\/b> NIS2 vereist dat organisaties aantonen dat ze passende “technische en organisatorische maatregelen” hebben genomen. Een lappendeken van losgekoppelde beveiligingstools maakt het moeilijk om de uniforme logging, documentatie over toegangscontrole en bewijs voor het afdwingen van beleid te leveren die auditors verwachten. <\/p>\n<\/li>\n<\/ul>\n Amerikaanse beveiligingsleveranciers staan voor structurele uitdagingen met NIS2-compliance<\/b>. De Amerikaanse Cloud Act<\/b> geeft Amerikaanse autoriteiten brede toegang tot gegevens van Amerikaanse bedrijven, ongeacht waar die gegevens fysiek zijn opgeslagen. Dit zorgt voor spanning met Europese vereisten voor gegevensbescherming en de Schrems II-uitspraak die Privacy Shield ongeldig maakte. <\/p>\n Voor organisaties die hun beveiligingsstapel evalueren, is gegevenssoevereiniteit<\/b> belangrijk. Regelgevers verwachten duidelijke antwoorden over waar gegevens zich bevinden, wie er toegang toe heeft en binnen welke juridische kaders. Leveranciers met een Europees hoofdkantoor, zoals Jimber, vermijden deze juridische complicaties volledig. <\/p>\n Een transparante architectuur vereenvoudigt ook het proces van bewijsvoering voor compliance. Wanneer auditors vragen hoe je de toegang tot gevoelige systemen controleert, geeft \u00e9\u00e9n beheerconsole met uniforme logging duidelijkere antwoorden dan een verzameling tools van verschillende leveranciers met afzonderlijke beleidsengines en logboekformaten. <\/p>\n Neem een productiebedrijf<\/b> met 200 werknemers, drie productielocaties en een netwerk van industri\u00eble controllers die productielijnen beheren. Ze leveren onderdelen aan OEM’s in de auto-industrie die zelf geclassificeerd zijn als essenti\u00eble entiteiten onder NIS2<\/b>. <\/p>\n Hun grootste klant eist nu jaarlijkse beveiligingsbeoordelingen en bewijs van toegangscontroles. Het IT-team van vier mensen beheert alles, van e-mail tot de HMI-systemen op de fabrieksvloer. <\/p>\n Bij de traditionele aanpak zouden er aparte oplossingen zijn voor toegang op afstand, webbeveiliging, connectiviteit op de site en isolatie van het productienetwerk. Meerdere consoles, meerdere beleidstalen, meerdere logformaten. Wanneer de auditor van de klant vraagt om bewijs van toegangscontrole met minimale privileges, is het IT-team dagen bezig met het verzamelen van informatie uit verschillende systemen. <\/p>\n Een Unified SASE platform<\/b> verandert deze vergelijking. Zero Trust Network Access (ZTNA)<\/b> vervangt brede VPN-verbindingen door applicatiespecifieke toegang gekoppeld aan de identiteit van de gebruiker. Een Secure Web Gateway<\/b> met Browser Isolatie<\/b> dwingt consistente beleidsregels af op alle locaties, zodat ransomware het eindpunt niet kan bereiken. Netwerkcontrollers verbinden productiefaciliteiten met versleutelde site-to-site verbindingen. Agentless apparaten zoals PLC’s en HMI’s zitten achter inline netwerkisolatie (NIAC)<\/b> die precies controleert welk verkeer ze kunnen verzenden en ontvangen. <\/p>\n Dit alles is zichtbaar in \u00e9\u00e9n console. Als de auditor vragen stelt, komen de antwoorden van \u00e9\u00e9n plek. Beleidswijzigingen hebben duidelijke audit trails. Toegangsbeslissingen worden vastgelegd met gebruikersidentiteit, apparaatstatus en tijdstempel. <\/p>\n Het IT-team van vier personen kan dit daadwerkelijk beheren. Ze zijn hun tijd niet kwijt met het correleren van logs van vijf verschillende systemen of het onderhouden van complexe firewallregelsets die niemand meer helemaal begrijpt. <\/p>\n Begin met wat auditors zullen vragen.<\/b> Documenteer uw beveiligingsmaatregelen<\/b>, wie ze heeft goedgekeurd en wanneer. Houd duidelijke gegevens bij over de betrokkenheid van het bestuur bij beslissingen over cyberbeveiliging. Dit omvat notulen van vergaderingen, budgetgoedkeuringen en trainingsgegevens. <\/p>\n<\/li>\n Breng je toeleveringsketen in kaart en documenteer hoe je de beveiliging van leveranciers beoordeelt.<\/b> Dit vereist geen perfecte informatie over elke leverancier, maar wel een proces. Welke leveranciers hebben toegang tot uw systemen of gegevens? Hoe beoordeelt u hun beveiliging? Welke contractuele vereisten leg je op? <\/p>\n<\/li>\n Implementeer technische controles die het bewijs opleveren dat je nodig hebt.<\/b> Gecentraliseerd loggen legt toegangsbeslissingen en beleidswijzigingen vast. Identiteitsgebaseerde toegangscontrole<\/b> demonstreert least-privilege principes. Device posture checks laten zien dat u de beveiliging van endpoints controleert voordat u toegang verleent. <\/p>\n<\/li>\n Test uw incidentresponsproces.<\/b> NIS2<\/b> legt strikte rapportagetermijnen op. U moet incidenten snel detecteren, de impact ervan beoordelen en binnen 24 uur rapporteren aan de autoriteiten voor belangrijke gebeurtenissen. Driemaandelijkse oefeningen helpen om hiaten te identificeren voordat een echt incident ze blootlegt. <\/p>\n<\/li>\n<\/ul>\n Is NIS2 van toepassing op mijn organisatie?<\/strong><\/p>\n Als je in de EU actief bent met meer dan 50 werknemers of een omzet van \u20ac10 miljoen, en je sector valt onder het uitgebreide toepassingsgebied (energie, transport, banken, gezondheidszorg, digitale infrastructuur, productie, voedsel, afval, post, chemicali\u00ebn, onderzoek), dan kom je waarschijnlijk in aanmerking als een essenti\u00eble of belangrijke entiteit.<\/p>\n Wat gebeurt er als we ons niet aan de regels houden?<\/strong><\/p>\n Essenti\u00eble entiteiten riskeren boetes tot \u20ac 10 miljoen of 2% van de wereldwijde omzet, plus mogelijke persoonlijke aansprakelijkheid voor bestuursleden. Belangrijke entiteiten krijgen te maken met \u20ac7 miljoen of 1,4% van de omzet met toezicht achteraf in plaats van proactieve audits. <\/p>\n Hoe be\u00efnvloedt NIS2 onze relaties met grotere klanten?<\/strong><\/p>\n Grote ondernemingen die zijn geclassificeerd als essenti\u00eble entiteiten moeten de veiligheidsrisico’s van de toeleveringsketen beheren. Ze zullen in toenemende mate eisen dat leveranciers aantonen dat ze aan de eisen voldoen door middel van beoordelingen, certificeringen of contractuele verplichtingen. Leveranciers die zich niet aan de regels houden, lopen het risico contracten te verliezen. <\/p>\n Kunnen we aan NIS2 voldoen met onze bestaande ISO 27001-certificering?<\/strong><\/p>\n ISO 27001 biedt een sterke basis, maar voldoet niet automatisch aan alle vereisten van NIS2. De regelgeving stelt specifieke eisen aan de tijdlijnen voor het melden van incidenten, de verantwoordelijkheid van het bestuur en het risicobeheer van de toeleveringsketen, waarvoor aanvullende maatregelen nodig kunnen zijn, zoals de implementatie van Zero Trust. <\/p>\n Welke technische controles heeft NIS2 nodig?<\/strong><\/p>\n De verordening vraagt om passende technische en organisatorische maatregelen zonder specifieke technologie\u00ebn voor te schrijven. In de praktijk verwachten auditors toegangscontrole (ZTNA), logging, incidentdetectie, netwerkbeveiliging en risicobeheer van de toeleveringsketen. Het belangrijkste is om aan te tonen dat deze controles bestaan, werken zoals bedoeld en onder toezicht staan van de raad van bestuur. <\/p>\n Hoe gaan we om met OT- en industri\u00eble systemen onder NIS2?<\/strong><\/p>\n Productieapparatuur kan vaak geen beveiligingsagenten uitvoeren, maar heeft toch bescherming nodig. Inline netwerkisolatie cre\u00ebert een veilige brug tussen IT- en OT-omgevingen en regelt precies welk verkeer van en naar industri\u00eble controllers stroomt zonder de productieactiviteiten te verstoren. <\/p>\n NIS2<\/b> maakt van cyberbeveiliging een bestuurlijke kwestie. Bestuursleden moeten inzicht hebben in hun persoonlijke blootstelling en de maatregelen die zowel de organisatie als henzelf beschermen. Een Unified SASE-platform<\/b> vereenvoudigt zowel de implementatie als het bewijsspoor dat auditors verwachten. <\/p>\n Boek een gesprek om te bespreken hoe uw organisatie NIS2-naleving<\/b> kan aantonen zonder de operationele complexiteit te vergroten.<\/p>\n","protected":false},"excerpt":{"rendered":" NIS2 is live in Belgi\u00eb. CEO’s en bestuursleden worden persoonlijk aansprakelijk gesteld. Leer hoe u uw organisatie en toeleveringsketen kunt beveiligen met een uniform SASE-platform. <\/p>\n","protected":false},"author":5,"featured_media":11737,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"footnotes":""},"categories":[2],"tags":[],"class_list":["post-11742","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ongecategoriseerd"],"acf":[],"_links":{"self":[{"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/posts\/11742","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/comments?post=11742"}],"version-history":[{"count":1,"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/posts\/11742\/revisions"}],"predecessor-version":[{"id":11743,"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/posts\/11742\/revisions\/11743"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/media\/11737"}],"wp:attachment":[{"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/media?parent=11742"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/categories?post=11742"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/jimber.io\/nl\/wp-json\/wp\/v2\/tags?post=11742"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Waarom NIS2 het gesprek verandert<\/h3>\n
Persoonlijke aansprakelijkheid<\/b> voor bestuursleden<\/h3>\n
\n\n
\n Categorie<\/strong><\/td>\n Voorbeelden per sector<\/strong><\/td>\n Maximale boete<\/strong><\/td>\n Aansprakelijkheidsmodel<\/strong><\/td>\n<\/tr>\n<\/thead>\n\n \n Essenti\u00eble entiteiten<\/b><\/span><\/td>\n Energie, transport, bankwezen, gezondheidszorg, water<\/span><\/td>\n \u20ac10M of 2% omzet<\/span><\/td>\n Persoonlijke aansprakelijkheid<\/b> voor bestuursleden<\/span><\/td>\n<\/tr>\n \n Belangrijke entiteiten<\/b><\/span><\/td>\n Voedsel, afval, productie<\/b>, post<\/span><\/td>\n \u20ac7M of 1,4% omzet<\/span><\/td>\n Ex-post toezicht<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n Beveiliging van de bevoorradingsketen<\/b> volgens artikel 21<\/h3>\n
Veelgemaakte nalevingsfouten<\/h3>\n
\n
Hoe Europese leveranciers datasoevereiniteit<\/b> aanpakken<\/h3>\n
Praktisch scenario: een Belgische fabrikant<\/h3>\n
Je NIS2-onderwijspakket<\/b> samenstellen<\/h3>\n
\n
FAQ<\/h3>\n
Neem het gesprek over compliance mee naar de raad van bestuur<\/h3>\n