Binnenkort komt er een nieuw wettelijk kader om de cyberveiligheid in België en Europa te versterken. Dat geeft een grotere verantwoordelijkheid aan bedrijfsleiders, die niet alleen een cyberveiligheidsopleiding moeten volgen, maar ook de hoofdverantwoordelijken zullen zijn voor de implementatie van cyberweerbaarheidsmaatregelen. De sancties voor niet-naleving van die rol zullen dan ook rechtstreeks op hen van toepassing zijn. De straffen variëren van boetes tot gevangenisstraffen en een verbod op de uitoefening van de functie.
Het wetsontwerp tot omzetting in Belgisch recht van de Europese richtlijn betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie, bekend als de NIS 2-richtlijn, werd op 27 maart goedgekeurd door de commissie Binnenlandse Zaken van de Kamer. Het stelt een kader vast voor de cyberveiligheid van de belangrijkste operatoren in de sleutelsectoren van onze samenleving. Het doel? Hen weerbaarder maken voor cyberaanvallen die al hun activiteiten zouden kunnen lamleggen.
De explosieve toename van het aantal cyberaanvallen en de impact van zulke incidenten op de samenleving hebben duidelijk aangetoond dat het noodzakelijk is om nationale autoriteiten te verplichten de nodige aandacht te besteden aan cyberveiligheid, om de Europese samenwerking tussen cyberveiligheidsautoriteiten te versterken en om bedrijven te verplichten veiligheidsmaatregelen te nemen en incidenten te melden.
De Belgische wet tot omzetting van de NIS2-richtlijn zal in principe van toepassing zijn op in België gevestigde entiteiten en zal betrekking hebben op bedrijven die actief zijn in een van de 18 sectoren die in de bijlagen van de richtlijn worden opgesomd. Het gaat om kritieke sectoren zoals:
- energie
- vervoer (lucht, spoor, water, weg)
- het bankwezen en de infrastructuur van de financiële markten
- gezondheidszorg (ziekenhuizen, referentielaboratoria, fabrikanten van medische hulpmiddelen of farmaceutische bereidingen enz.)
- drinkwater
- digitale infrastructuur en digitale leveranciers
- overheid
- post- en koerierdiensten
- vervaardiging, productie en distributie van chemische stoffen
- productie, verwerking en distributie van levensmiddelen
- onderzoek.
De betrokken entiteiten zullen passende en evenredige maatregelen moeten nemen om de risico’s te beheren die een bedreiging vormen voor de veiligheid van de netwerken en informatiesystemen die ze gebruiken voor hun activiteiten of de levering van hun diensten. En dus ook maatregelen om de cascade-effecten van dergelijke incidenten op de ontvangers van hun diensten en op andere diensten te elimineren of te verminderen.
De betrokken bedrijven zullen verschillendemaatregelen moeten implementeren om de risico’s van cyberincidenten correct te analyseren en goed te beheren als ze zich voordoen. Dat betekent onder andere dat de bedrijfscontinuïteit en de veiligheid van de toeleveringsketen moeten worden gewaarborgd, inclusief de relaties tussen de entiteiten (directe leveranciers of dienstverleners). Er moet een intern opleidingsprogramma voor cyberbeveiliging worden opgezet, te beginnen met opleiding voor de bestuurders.
Het Belgische wetsvoorstel voorziet in twee opties om de richtlijn na te komen: certificering volgens de ISO 27001-norm of het CyberFundamentals Framework dat werd opgezet door het Centre for Cybersecurity Belgium (CCB).
Lees meer artikels over:
