NIS2: Bent u in het toepassingsgebied?
De nieuwe Belgische cybersecurity-wet wordt binnenkort van kracht. Bekijk het nu.
Ontdek wat de NIS2-wetgeving voor jouw organisatie betekent, of je binnen het toepassingsgebied valt en wat jouw verplichtingen kunnen zijn.
De wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerken en informatiesystemen van algemeen belang voor de openbare veiligheid (de "NIS2-wet") zet Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 (de "NIS2-richtlijn") om in België. De wet treedt in werking op 18 oktober 2024.
De NIS2-wet actualiseert het Belgische rechtskader inzake cyberbeveiliging door de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerken en informatiesystemen van algemeen belang voor de openbare veiligheid (NIS1-wet) te vervangen. De nieuwe tekst gaat vergezeld van het Koninklijk Besluit van 9 juni 2024 dat de bepalingen ervan uitvoert, bijvoorbeeld door het Centrum voor Cybersecurity België (CCB) aan te wijzen als de nationale autoriteit voor cyberbeveiliging.
Netwerken en informatiesystemen zijn centrale elementen van onze samenleving geworden. Het aantal, de schaal, het raffinement, de frequentie en de impact van incidenten met deze netwerken en informatiesystemen vormen nu echter aanzienlijke bedreigingen voor de bevolking, het bedrijfsleven en de overheid.
Het doel van de wet is het versterken van maatregelen op het gebied van cyberbeveiliging, incidentbeheer en het toezicht op entiteiten die diensten leveren die essentieel zijn voor het in stand houden van kritieke maatschappelijke of economische activiteiten. De wet is ook bedoeld om de coördinatie van overheidsbeleid op het gebied van cyberbeveiliging te verbeteren.
Om onder de Belgische NIS2-wet te vallen, moet een organisatie in principe:
Deze criteria worden in de volgende paragrafen uitgelegd.
Naast de uitleg op deze pagina kun je ook onze toepassingsgebied test doen:
Voordat de wet zelf wordt geanalyseerd, is het belangrijk om eerst na te gaan of er twee situaties zijn die van invloed zijn op de manier waarop de NIS2-wetgeving van toepassing is op een organisatie.
Ten eerste is het belangrijk op te merken dat de NIS2-wet automatisch van toepassing is op alle entiteiten die worden aangemerkt als exploitanten van kritieke infrastructuur in de zin van de wet van 1 juli 2011 inzake de beveiliging en bescherming van kritieke infrastructuur, ongeacht hun omvang. Volgens de NIS2-wet zijn deze exploitanten essentiële entiteiten.
Ten tweede vallen entiteiten die op grond van de NIS1-wet zijn aangemerkt als aanbieders van essentiële diensten (AED) of digitale-dienstverlener (DSP) in principe ook onder de NIS2-wet als ze de noodzakelijke omvangdrempels overschrijden (zie deel 1). De reden hiervoor is eenvoudig: het toepassingsgebied van de NIS2-richtlijn is een uitbreiding van het toepassingsgebied van de NIS1-richtlijn.
Om onder het toepassingsgebied van de NIS2-wet te vallen, moet een organisatie een bepaalde omvang hebben. In principe moet een organisatie ten minste een middelgrote onderneming zijn, berekend aan de hand van de bijlage van Aanbeveling 2003/361/EG van de Commissie, maar er zijn bepaalde uitzonderingen (waarover hieronder meer).
De grootte van een organisatie wordt bepaald aan de hand van twee criteria: het aantal werkzame personen (gemeten in voltijdequivalenten (VTE)*) en financiële bedragen (jaaromzet en/of jaarlijks balanstotaal). Hoe deze twee criteria precies worden vastgesteld, is te vinden in de bijlage van de Aanbeveling zelf of in de handige gebruikershandleiding van de Commissie bij de KMO-definitie.
Om de grootte van een organisatie te bepalen, moet je eerst kijken naar het aantal werkzame personen:
Daarna moet het aantal werkzame personen gecombineerd worden met de financiële bedragen om de definitieve indeling te krijgen: een onderneming kan ervoor kiezen om ofwel aan het omzetplafond ofwel aan het balanstotaalplafond te voldoen. Ze mag een van de financiële maxima overschrijden zonder gevolgen voor haar KMO-status. We kijken dus alleen naar het laagste van de twee bedragen.
De plafonds voor de jaaromzet zijn de volgende:
De plafonds voor het jaarlijkse balanstotaal zijn de volgende:
Voorbeeld 1: een bedrijf met 35 VTE* (klein) heeft een jaarlijkse omzet van 1.000.000€ (klein) en een jaarlijks balanstotaal van 50.000.000€ (groot). Voor de financiële bedragen wordt alleen gekeken naar het laagste bedrag: de omzet. Het is dus een kleine of micro-onderneming.
Voorbeeld 2: een onderneming met 80 VTE* (middelgroot) heeft een jaaromzet van 1.000.000€ (klein) en een jaarlijks balanstotaal van 70.000.000€ (groot). Voor de financiële bedragen wordt alleen gekeken naar het laagste bedrag: de omzet. Omdat de omzet klein is maar het aantal werkzame personen middelgroot, is het een middelgrote onderneming.
Visueel ziet het er als volgt uit:
Als we de verschillende mogelijke afmetingen combineren met het servicecriterium, krijgen we het volgende toepassingsgebied (met enkele uitzonderingen - zie hieronder):
Middelgrote onderneming | Grote onderneming | |
Diensten in bijlage I | Belangrijk | Essentieel |
Diensten in bijlage II | Belangrijk | Belangrijk |
* Voltijdsequivalenten (VTE) (in de Aanbeveling "jaararbeidseenheden (AJE)" genoemd) zijn het aantal personen dat gedurende het gehele referentiejaar in kwestie voltijds in de onderneming of voor rekening van de onderneming heeft gewerkt. Het werk van personen die niet het hele jaar hebben gewerkt, het werk van degenen die in deeltijd hebben gewerkt, ongeacht de duur, en het werk van seizoenarbeiders worden als delen van AJE's geteld. De Aanbeveling en de gids specificeren verder welke personeelsleden geteld moeten worden.
Het verschil tussen essentiële en belangrijke entiteiten heeft vooral te maken met hoe streng ze worden gecontroleerd en gesanctioneerd.
Het is belangrijk op te merken dat de Aanbeveling ook bepaalt dat de berekening van de omvang van een organisatie die deel uitmaakt van een groep (zogenaamde "partnerondernemingen" of "verbonden ondernemingen") een consolidatie van de gegevens van de verschillende onderdelen van deze groep impliceert. Meer details over dit onderwerp zijn te vinden in de Aanbeveling of in de gids.
Er zijn echter een aantal uitzonderingen op de "size-cap". Bepaalde soorten entiteiten vallen onder het toepassingsgebied van de NIS2-wet, ongeacht hun omvang:
Los van deze regels zal het Centrum voor Cybersecurity België (CCB) ook specifieke entiteiten als "essentieel" of "belangrijk" kunnen aanmerken, bijvoorbeeld wanneer zij de enige leverancier van een dienst zijn of wanneer de verstoring van de geleverde diensten een significant effect zou kunnen hebben op de openbare veiligheid, de openbare beveiliging of de volksgezondheid.
Naast de omvangbeperking vereist de dienstenvoorwaarde dat een organisatie al haar diensten aan derden, per sector en subsector, volledig analyseert. Dit is belangrijk, omdat zelfs de meest bijkomstige dienst die wordt geleverd ervoor kan zorgen dat een organisatie als geheel onder het toepassingsgebied van de NIS2-wet valt, tenzij anders vermeld in de definitie van de betreffende dienst.
Alle diensten die onder de NIS2-wet vallen, worden beschreven in bijlagen I en II (of in de definities) van de wet. Als een organisatie een van de daar genoemde diensten levert en voldoet aan het overeenkomstige omvangcriterium, dan valt ze onder de NIS2-wet als ze kan worden gekoppeld aan België (zie deel 3).
De verschillende diensten zijn gegroepeerd per sector. Hier is de lijst met de verschillende sectoren en subsectoren:
Zeer kritieke sectoren (bijlage I) | Andere kritieke sectoren (bijlage II) |
---|---|
|
|
De meeste diensten worden gedefinieerd aan de hand van definities in EU-wetgevingsinstrumenten. Het is van groot belang om deze definities te raadplegen om te controleren of ze overeenkomen met de werkelijke dienst die door een organisatie wordt geleverd. Om organisaties by deze taak te helpen, heeft het CCB een Excel-table opgesteld die al deze definities samenbrengt in één document:
Een organisatie die analyseert of ze binnen de werkingssfeer van de NIS2-wet valt, moet dus het verband leggen tussen een dienst die ze levert en een dienst die wordt genoemd in de bijlagen van de wet. Opgemerkt moet worden dat het mogelijk is dat een organisatie meerdere diensten verleent en onder meerdere sectoren valt.
Voor een beter overzicht van de toepassingsgebied van de wet, nodigen we je uit om onze visuele samenvatting raadplegen:
In principe is de Belgische NIS2-wet alleen van toepassing op in België gevestigde entiteiten die hun diensten verlenen of hun activiteiten uitvoeren binnen de EU. Twee concepten zijn hier belangrijk:
Er zijn echter drie uitzonderingen op de regel van vestiging in België:
Het begrip "hoofdvestiging" verwijst naar de vestiging waar bedoelde entiteiten hun er hoofdzakelijk de beslissingen nemen rond maatregelen voor het beheer van cyberbeveiligingsrisico's. Als dit niet kan worden vastgesteld of als dergelijke besluiten niet in de Unie worden genomen, is de hoofdvestiging de vestiging waar de entiteit hun cyberbeveiligingsactiviteiten uitvoert. Als ook deze plaats niet kan worden bepaald, is de hoofdvestiging de plaats waar de entiteit het grootste aantal werknemers in de Unie heeft.
* Als een entiteit bedoeld in punt 2) niet in de EU is gevestigd maar er haar diensten verleent, moet ze een wettelijke vertegenwoordiger aanstellen die gevestigd is in een lidstaat waar ze haar diensten aanbied. Als deze vertegenwoordiger in België gevestigd is, wordt de entiteit geacht haar hoofdvestiging in België te hebben.
Als een entiteit meerdere vestigingen heeft in verschillende EU-lidstaten, zal het onderworpen zijn aan de omzettingswetgeving in elk van de betrokken lidstaten. De verschillende bevoegde nationale autoriteiten zullen samenwerken op het gebied van inspecties en de melding van significante incidenten.
Het is mogelijk dat na een grondige analyse van het toepassingsgebied van de NIS2-wet bepaalde organisaties zich realiseren dat ze in feite niet onder die wet vallen. Alle niet-NIS2-organisaties moeten zich ervan bewust zijn dat de NIS2-wet hen nog steeds op twee manieren kan raken.
Ten eerste kan de nationale autoriteit voor cyberbeveiliging (het CCB) bepaalde organisaties, ongeacht hun omvang, in vier verschillende omstandigheden aanmerken als essentiële of belangrijke entiteiten in het kader van de NIS2-wet:
Dit proces verloopt in overleg met de betrokken entiteit en andere relevante actoren, zoals de sectorale autoriteit (als die bestaat) en de relevante gefedereerde entiteiten. Meer informatie over deze procedure is te vinden in artikel 11 van de NIS2-wet of in onze FAQ.
Ten tweede kan een organisatie in de toeleveringsketen van een NIS2-entiteit vallen en op grond van een contractuele verplichting worden geconfronteerd met de verplichting om maatregelen voor het beheer van cyberbeveiligingsrisico’s te implementeren. NIS2-entiteiten zijn inderdaad verplicht om de beveiliging van hun toeleveringsketen te verzekeren, met inbegrip van beveiligingsgerelateerde aspecten met betrekking tot de relaties tussen elke entiteit en haar rechtstreekse leveranciers of dienstverleners.
In deze context adviseert het Centrum voor Cybersecurity België alle organisaties die zich in de toeleveringsketen van een NIS2-entiteit kunnen bevinden, om ten minste te voldoen aan de maatregelen die zijn uiteengezet in het CyberFundamentals (CyFun®) Framework level Basic. Een NIS2-entiteit zou theoretisch de naleving van een bepaald CyFun®-niveau kunnen opleggen aan haar directe leveranciers of dienstverleners.
De NIS2-wet legt een aantal verplichtingen op aan essentiële en belangrijke entiteiten. Deze omvatten registratie op Safeonweb@Work, implementatie van maatregelen voor het beheer van cyberbeveiligingsrisico's, melding van significante incidenten aan het nationale CSIRT (het CCB), verplichtingen voor het management en samenwerking met de autoriteiten.
Al deze verplichtingen worden in de volgende secties beschreven.
Aanvullende informatie is te vinden in onze FAQ.
NIS2-entiteiten die onder het toepassingsgebied van de Belgische NIS2-wet vallen, moeten hun organisatie registreren bij het CCB. In de praktijk neemt registratie de vorm aan van een online formulier dat moet worden ingevuld hier op Safeonweb@Work.
De termijn voor registratie hangt af van het soort entiteit. In principe hebben essentiële en belangrijke entiteiten en aanbieders van domeinnaamregistratiediensten 5 maanden vanaf de inwerkingtreding van de wet om zich te registreren. Aangezien de inwerkingtreding is gepland voor 18 oktober 2024, moet de registratie uiterlijk 18 maart 2025 zijn voltooid.
Bij registratie moeten bedrijven de volgende informatie verstrekken:
Er is een uitzondering voor entiteiten die deze informatie al hebben doorgegeven aan een NIS2-sectorautoriteit. In dit geval hoeft de informatie alleen te worden bijgewerkt indien nodig. Als de informatie verandert, moeten alle entiteiten het CCB daarvan onmiddellijk op de hoogte stellen.
Voor de volgende soorten entiteiten bestaat een licht aangepaste regeling:
Ze moeten zich registreren binnen 2 maanden na de inwerkingtreding van de wet, d.w.z. uiterlijk op 18 december 2024, en de volgende informatie verstrekken:
Elke entiteit, al dan niet onder de uitzondering vallend, is verplicht om het CCB onmiddellijk op de hoogte te brengen van wijzigingen in deze informatie.
In de praktijk wordt een deel van deze informatie rechtstreeks van de Kruispuntbank van Ondernemingen (KBO) verkregen tijdens het registratieproces.
Essentiële en belangrijke entiteiten moeten passende en evenredige technische, operationele en organisatorische maatregelen nemen om de risico's voor de beveiliging van de netwerk- en informatiesystemen die zij voor hun activiteiten of voor het verlenen van hun diensten gebruiken, te beheren en om incidenten te voorkomen of de gevolgen van incidenten voor de afnemers van hun diensten en voor andere diensten te beperken.
Bovendien moeten de getroffen maatregelen zorgen voor een beveiligingsniveau voor netwerken en informatiesystemen dat in verhouding staat tot het bestaande risico, rekening houdend met de stand van de techniek en, indien van toepassing, de desbetreffende Europese en internationale normen, alsook met de uitvoeringskosten. Bij de beoordeling van de evenredigheid van deze maatregelen moet terdege rekening worden gehouden met de mate waarin de entiteit aan risico's is blootgesteld, de omvang van de entiteit en de kans dat zich incidenten voordoen en de ernst ervan, met inbegrip van de maatschappelijke en economische gevolgen.
De maatregelen moeten dus zo goed mogelijk worden afgestemd op de concrete situatie van de betrokken entiteit.
In de NIS2-wet staat ook dat deze maatregelen zijn gebaseerd een benadering die alle gevaren omvat en tot doel hebben netwerk- en informatiesystemen en hun fysieke omgeving te beschermen tegen incidenten. In de wet worden 11 minimummaatregelen genoemd die elke NIS2-entiteit moet implementeren:
Om de praktische implementatie van deze maatregelen te vergemakkelijken, adviseert het Centrum voor Cybersecurity België alle NIS2-entiteiten gebruik te maken van het CyberFundamentals (CyFun®) Framework, dat al deze punten omvat. Een gevalideerde implementatie van het CyFun Framework geeft NIS2-entiteiten een vermoeden van conformiteit. Ga voor meer informatie naar onze pagina over het CyFun Framework en zie ons hoofdstuk over toezicht hieronder.
De NIS2-wet bepaalt dat essentiële en belangrijke entiteiten het nationale CSIRT (het CCB) in kennis moeten stellen van elk significant incident dat gevolgen heeft voor de verlening van hun diensten in de (sub)sectoren die in de bijlagen van de wet worden opgesomd, met inbegrip van, indien van toepassing, informatie aan de hand waarvan kan worden vastgesteld of het incident in kwestie een grensoverschrijdend effect heeft.
Om aan deze verplichting te voldoen, moet men begrijpen wat wordt bedoeld met "incident" en met "significant".
De NIS2-wet definieert "incident" als een gebeurtenis die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van opgeslagen, verzonden of verwerkte gegevens of van de diensten die worden aangeboden door of toegankelijk zijn via netwerk- en informatiesystemen, in gevaar brengt.
Een "significant" incident is elk incident bedoeld dat significante gevolgen heeft voor de verlening van een van de diensten in de sectoren of deelsectoren van de bijlagen I en II van de wet en dat:
Als het incident in kwestie aan deze definitie voldoet, moet de melding aan het nationale CSIRT (het CCB) in verschillende stappen worden gedaan:
In de praktijk vindt de kennisgeving plaats via de procedure op de CCB-website.
Notificatieplatform binnenkort toegankelijk
Naast de kennisgeving aan het nationale CSIRT brengen de betrokken entiteiten, in voorkomend geval, de ontvangers van hun diensten op de hoogte van alle significante incidenten die een negatieve invloed kunnen hebben op de levering van de voornoemde diensten. De entiteiten informeren ook de ontvangers van hun diensten die mogelijk getroffen worden door een significante cyberdreiging over alle maatregelen en correcties die kunnen worden genomen om hierop te reageren, en zelfs over de cyberdreiging zelf.
De bestuursorganen van NIS2-entiteiten moeten maatregelen voor het beheer van cyberbeveiligingsrisico's goedkeuren en toezicht houden op de uitvoering ervan. Als de entiteit haar verplichtingen met betrekking tot risicobeheersmaatregelen niet nakomt, is het bestuursorgaan aansprakelijk.
Leden van de bestuursorganen zijn verplicht om opleidingen te volgen om ervoor te zorgen dat hun kennis en vaardigheden voldoende zijn om risico's te identificeren en maatregelen voor het beheer van cyberbeveiligingsrisico's en de impact ervan op de diensten die door de betreffende entiteit worden verleend, te beoordelen.
De memorie van toelichting bij de NIS2-wet definieert "lid van een bestuursorgaan" als:
Iedere natuurlijke persoon of rechtspersoon die:
Indien de entiteit in kwestie een vennootschap naar Belgisch recht is, wordt deze controle bepaald overeenkomstig artikel 1:14 tot 1:18 van het Wetboek van vennootschappen en verenigingen. Wanneer de persoon wiens rol wordt onderzocht, een rechtspersoon is, wordt het begrip “lid van een bestuursorgaan” ruim geïnterpreteerd en omvat het zowel de rechtspersoon in kwestie als elk lid van een bestuursorgaan van die rechtspersoon. |
De verantwoordelijke personen en/of wettelijke vertegenwoordigers van een entiteit moeten de bevoegdheid hebben om ervoor te zorgen dat de entiteit de wet nakomt. Ze zijn aansprakelijk als ze dit nalaten.
De aansprakelijkheid van bestuursorganen, verantwoordelijke personen en wettelijke vertegenwoordigers doet geen afbreuk aan de aansprakelijkheidsregels die gelden voor overheidsinstanties, alsook voor ambtenaren en verkozen of benoemde overheidsfunctionarissen.
De NIS2-wet vereist dat entiteiten die binnen zijn toepassingsgebied vallen, samenwerken met de nationale autoriteiten die verantwoordelijk zijn voor de uitvoering ervan, met name het CCB en de sectorale autoriteiten.
Deze samenwerking neemt meestal de vorm aan van een uitwisseling van informatie over de beveiliging van netwerken en informatiesystemen, maar omvat ook samenwerking tussen de entiteit en de CCB's of de sectorale inspectiedienst.
Als we het hebben over toezicht in het kader van de NIS2-wet, moeten we onderscheid maken tussen twee categorieën entiteiten: essentiële entiteiten en belangrijke entiteiten. Het belangrijkste verschil tussen de twee heeft betrekking op toezicht en sancties:
Dit hoofdstuk gaat in detail in op hoe het toezicht zal verlopen, welke deadlines entiteiten moeten respecteren en welke sancties kunnen worden opgelegd.
Meer informatie over het CyberFundamentals Framework is beschikbaar op de betreffende pagina.
Essentiële entiteiten moeten een verplichte regelmatige conformiteitsbeoordeling ondergaan. Deze beoordeling wordt uitgevoerd op basis van een keuze die de entiteit maakt uit drie opties:
De conformiteitsattest die essentiële entiteiten ontvangen na de conformiteitsbeoordeling van het door hen gekozen kader, stelt hen in staat te profiteren van een vermoeden van conformiteit. Tot het tegendeel is bewezen, worden ze verondersteld hun verplichtingen te zijn nagekomen.
Omdat essentiële entiteiten proactief en reactief worden gecontroleerd, kan de inspectiedienst ze ook op elk moment inspecteren. Voor belangrijke entiteiten wordt het toezicht enkel "ex-post" uitgevoerd door de inspectiedienst. In principe zijn ze dus niet onderworpen aan een regelmatige conformiteitsbeoordeling. Deze entiteiten kunnen zich echter vrijwillig onderwerpen aan hetzelfde regime als essentiële entiteiten en krijgen als zodanig ook een vermoeden van conformiteit.
Tijdens zijn controle kan de inspectiedienst van het CCB (of een sectorale inspectiedienst, of beide samen) inspecties ter plaatse uitvoeren, toezicht ter plaatse houden, ad-hocaudits, maar ook van beveiligingsscans en algemene verzoeken om informatie en bewijsmateriaal uitvoeren. Alle NIS2-entiteiten moeten altijd voldoen aan de verzoeken van de inspectiedienst(en). Doen ze dat niet, dan lopen ze administratieve boetes op.
Essentiële en belangrijke entiteiten hebben ook de mogelijkheid om een CyFun® -zekerheidsniveau te gebruiken dat lager is dan hun NIS2-classificatie. Een essentiële entiteit zou bijvoorbeeld, op basis van een volledige risicoanalyse, het gebruik van het CyFun® -niveau "Important" kunnen rechtvaardigen. Deze keuze zou geen afbreuk doen aan zijn classificatie als essentiële entiteit volgens de NIS2-wet. Er moet worden opgemerkt dat de inspectiedienst een entiteit kan sanctioneren voor het ten onrechte conformeren aan een lager CyFun® -niveau.
De NIS2-wet en het Koninklijk Besluit treden in werking op 18 oktober 2024. Bijgevolg zullen alle verplichtingen van de wet en het Koninklijk Besluit vanaf die datum van toepassing zijn op essentiële en belangrijke entiteiten (cyberbeveiligingsmaatregelen, melding van incidenten, enz.).
De controle van essentiële entiteiten vindt dan gradueel verlopen, op basis van het gekozen traject voor de regelmatige conformiteitsbeoordeling.
Niet later dan 18 april 2026 moeten essentiële entiteiten, als onderdeel van de eerste verplichte conformiteitsbeoordelingen, ten minste:
Uiterlijk 18 april 2027 moeten essentiële entiteiten die kiezen voor een CyFun® of ISO/IEC 27001 certificering deze hebben verkregen.
Voor entiteiten die geïdentificeerd zijn door het CCB (zoals uitgelegd aan het einde van het toepassingsgebied-sectie hierboven), beginnen deze termijnen te lopen op de dag dat de identificatie wordt meegedeeld aan de betrokken entiteit.
Inspecteurs kunnen ter plaatse gaan, notulen opmaken en rapporten schrijven. Op basis van deze bevindingen kan een procedure worden gestart om een entiteit te bevelen een einde te maken aan een overtreding en, indien nodig, passende administratieve maatregelen te nemen, variërend van waarschuwingen tot administratieve boetes.
Mogelijke administratieve maatregelen en boetes worden door de richtlijn vastgesteld. Als een maatregel of boete nodig wordt geacht, wordt altijd de facto rekening gehouden met de situatie en eventuele herhaalde overtredingen, zodat de maatregel of boete evenredig is.
De volgende administratieve boetes kunnen worden opgelegd (verdubbeld bij herhaaldelijk gedrag binnen een periode van 3 jaar):
Het CCB kan ook de volgende administratieve maatregelen opleggen:
Het uiteindelijke doel van deze maatregelen en boetes is om het niveau van cyberbeveiliging van essentiële en belangrijke entiteiten te versterken en daarmee ook het niveau van cyberbeveiliging van het hele land.
Het Centrum voor Cybersecurity België heeft een uitgebreide tijdlijn opgesteld voor verplichtingen en toezicht die van toepassing zijn op essentiële en belangrijke entiteiten:
Het Centrum voor Cybersecurity België heeft een FAQ gepubliceerd met veel verdere uitleg over de NIS2-wet. Deze kan in de toekomst worden bijgewerkt om meer vragen te behandelen.
Meer informatie over NIS2 is ook beschikbaar op de website van het CCB.
Naast NIS2 is de pagina over het CyberFundamentals Framework ook erg nuttig.
Disclaimer: deze pagina bevat alleen informatie van algemene aard, verstrekt door het CCB aan het publiek over NIS2. Deze informatie is niet noodzakelijkerwijs volledig, uitputtend, accuraat of up-to-date en vormt geen officieel advies van het CCB.
Alleen de teksten die gepubliceerd zijn in het Belgisch Staatsblad zijn gezaghebbend: zie de wet and het koninklijk besluit.