De NIS2-richtlijn legt specifieke cybersecuritymaatregelen op aan organisaties om risicobeheer te versterken. Deze maatregelen hebben als doel om de digitale weerbaarheid te vergroten en gelden voor zowel essentiële als belangrijke entiteiten. Hier zijn de kernpunten van NIS2 op het gebied van risicobeheer:
1. Risicomanagement
Organisaties moeten risico’s identificeren, analyseren en mitigeren. Dit omvat het in kaart brengen van assets (hardware, software en data) en het beoordelen van mogelijke bedreigingen voor bedrijfscontinuïteit.
2. Beveiligingseisen
NIS2 vereist concrete beveiligingsmaatregelen, zoals:
- Incidentafhandeling: Opstellen van een incident response plan om snel op cybersecurityincidenten te reageren.
- Bedrijfscontinuïteit: Crisisbeheer en noodplannen om essentiële diensten operationeel te houden.
- Kwetsbaarheidsbeheer: Regelmatige scans en snelle oplossingen voor bekende zwakheden.
- Cyberhygiëne: Sensibilisering en training van medewerkers om basispraktijken in cybersecurity te waarborgen (bijvoorbeeld wachtwoordbeheer en phishingpreventie).
- Versleuteling (encryptie): Bescherming van data-integriteit en vertrouwelijkheid.
3. Veilige toeleveringsketen
Organisaties moeten cybersecurityrisico’s bij leveranciers beheren. Dit betekent dat toeleveranciers dezelfde strikte beveiligingseisen moeten hanteren als de organisatie zelf.
4. Bestuurlijke verantwoordelijkheid
Bestuurders krijgen een actieve rol bij toezicht op cybersecuritymaatregelen en kunnen persoonlijk aansprakelijk gesteld worden voor nalatigheid. Zij zijn ook verplicht tot het volgen van opleidingen om hun verantwoordelijkheden effectief uit te voeren.
5. Incidentmeldingsplicht
Organisaties moeten significante incidenten binnen 24 uur melden aan het nationale CSIRT (zoals het Centrum voor Cybersecurity België – CCB). Binnen 72 uur moet een uitgebreider rapport volgen, en een eindverslag wordt binnen een maand verwacht.
Deze verplichtingen zijn bedoeld om proactief risico’s te beperken en incidenten effectief te bestrijden, met een sterke nadruk op continuïteit en verantwoordelijkheid binnen organisaties. Boetes voor niet-naleving kunnen oplopen tot 2% van de wereldwijde omzet, afhankelijk van de ernst van de overtreding.