De wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (de "NIS2-wet") zet de richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 (de "NIS2-richtlijn") om in België. Ze treedt in werking op 18 oktober 2024.

1. Inleiding

De NIS2-wet vervangt de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid.

Netwerk- en informatiesystemen zijn een centraal onderdeel van onze maatschappij geworden. Het aantal, de omvang, de complexiteit, de frequentie en de impact van incidenten met betrekking tot deze netwerk- en informatiesystemen vormen nu echter aanzienlijke bedreigingen voor de bevolking, bedrijven en overheden.

Het doel van de wet is het versterken van de cyberbeveiligingsmaatregelen, incidentenbeheer en toezicht op entiteiten die diensten leveren die essentieel zijn voor het in stand houden van kritieke maatschappelijke of economische activiteiten. Daarnaast heeft de wet ook als doel de coördinatie van het overheidsbeleid op het gebied van cyberbeveiliging te verbeteren.

Image
Graphic on screen

2.De NIS2-wet

Alle informatie over de inhoud van de wet, inclusief het toepassingsgebied, de verplichtingen en het toezicht, is beschikbaar op de pagina gewijd aan de NIS2-wetgeving op de website van het Centre for Cybersecurity Belgium.

3. Scope test

Om te beoordelen of uw organisatie binnen het toepassingsgebied van de NIS2-wet zou kunnen vallen, zal het Centrum voor Cybersecurity België een indicatieve test ontwikkelen om u in de juiste richting te leiden.

Stay Tuned !

Deze test zal rekening houden met de voorwaarden van omvang en de te leveren diensten, zoals uitgelegd op de hierboven vermelde website. Zodra de test klaar is, zal hij beschikbaar zijn voor het publiek.

Binnenkort beschikbaar

Opgelet: de resultaten van deze test zijn puur informatief en hebben geen juridische gevolgen.

4. Registratie

Zoals hierboven uitgelegd, is elke entiteit die onder het toepassingsgebied van de Belgische NIS2-wet valt, verplicht om zich binnen een bepaalde periode te registreren bij het CCB.

De specifieke registratieprocedure in het kader van NIS2 zal binnenkort beschikbaar zijn.

Image
A laptop on a desktop

5. CyberFundamentals (CyFun®)

De CyberFundamentals zijn met name een middel voor organisaties die onder het toepassingsgebied van de NIS2-wet vallen om te voldoen aan de verplichting om passende en evenredige risicobeheersmaatregelen voor cyberbeveiliging te nemen.

Het CyFun®-kader is een reeks praktische maatregelen die zijn ontworpen om gegevens te beschermen, het risico op de meest voorkomende cyberaanvallen aanzienlijk te verminderen en de cyberweerbaarheid van een organisatie te vergroten.

CyFun® Snelstart : 

1. Selecteer jouw garantieniveau

Gebruik de CyFun Selection Tool om jouw CyberFundamentals Assurance Level  te bepalen

2. Voer een kloofanalyse uit

Gebruik de Self-Assessment Tool om een kloofanalyse te maken tussen jouw huidige situatie en je gewenste Assurance Level.

3. Implementeer maatregelen

Implementeer verbeteringsmaatregelen. Maak jouw doelstellingen realistisch. Geef prioriteit aan belangrijke maatregelen, omdat bekend is dat deze verband houden met aanvalsvectoren.
Als je Assurance Level Belangrijk of Essentieel is, overweeg dan om eerst naar niveau Basis te gaan en in realistische stappen omhoog te werken.

4. Bevestig de implementatie

Beoordeel jouw implementatie door jouw Self-Assessment te herzien. Terwijl je jouw implementatie bevestigt, verzamel je bewijsmateriaal in verband met de Self-Assessment om je voor te bereiden op externe conformiteitsbeoordeling.

5. Verkrijg een attest om jouw implementatie te bevestigen

Je kan jouw Self-Assessment laten valideren door een derde partij. Met hun attest kan je een label verkrijgen om jouw naleving aan jouw belanghebbenden aan te tonen. Kies een geautoriseerde derde partij (CAB of Conformity Assessment Body genoemd) uit de geautoriseerde CAB-lijst (komt binnenkort). De regels voor het verkrijgen van het attest staan gedetailleerd in de Conformity Assessment Scheme (CAS).
Essentiële entiteiten zijn verplicht om een CyFun-attest voor het niveau basis of belangrijk te verkrijgen vóór 18/04/2026 en hun definitieve niveau vóór 18/04/2027. Een ISO27001-certificaat met de juiste reikwijdte en Verklaring van Toepasselijkheid is ook voldoende om te voldoen aan de NIS2-verordening. 
Belangrijke entiteiten kunnen het CyFun-attest op het vereiste niveau of een ISO27001-certificaat met de juiste reikwijdte en Verklaring van Toepasselijkheid op vrijwillige basis verkrijgen. Als zij dit doen, worden zij verondersteld te voldoen aan de NIS2-vereisten.