NIS2 snelstartgids

A. In het toepassingsgebied: NIS2-entiteiten

B. In de toeleveringketen van NIS2 entiteiten

Aangezien NIS2-entiteiten de cyberbeveiliging van hun toeleveringsketen moeten beheren, kunnen ze van jouw organisatie eisen dat jij cyberbeveiligingsmaatregelen neemt. Het Centrum voor Cybersecurity België raadt aan om diegenen die van vitaal belang zijn voor jouw cyberbeveiliging te identificeren en hen te vragen ten minste het zekerheidsniveau CyberFundamentals Basis te implementeren.

Alle NIS2-entiteiten moeten zich registreren op Safeonweb@Work:

• Entiteiten in de digitale sectoren van de wet moeten zich registreren vóór 18 december 2024.
• Alle andere NIS2-entiteiten moeten zich uiterlijk vóór 18 maart 2025 registreren.

Vanaf 18 oktober 2024 moeten alle NIS2-entiteiten het CCB in kennis stellen van significante incidenten, d.w.z. elk incident dat een significante impact heeft op de levering van hun diensten en dat:

• een ernstige operationele verstoring van de dienstverlening of financiële verliezen voor de betrokken entiteit heeft veroorzaakt of kan veroorzaken;
• andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.

Significante incidenten kunnen worden gemeld aan het CCB via het platform voor incidentmeldingen (binnenkort toegankelijk) of per telefoon via +32 (0)2 501 05 60 (enkel voor spoedgevallen voor NIS2 entiteiten)

Met onze CyFun® Selection Tool kan je het juiste zekerheidsniveau (basis, belangrijk of essentieel) voor uw organisatie bepalen. 

Raden van bestuur en management moeten worden getraind op het gebied van cyberbeveiliging om hun verantwoordelijkheden en aansprakelijkheden op zich te kunnen nemen. Voor het nemen van managementbeslissingen over cyberbeveiligingsstrategieën en -maatregelen op bestuursniveau is basiskennis van risicobeheer en cyberbeveiliging onontbeerlijk. Het zou redelijk zijn om managementtraining te plannen vóór april 2025.

Naast managementtraining, is training van werknemers altijd een onderdeel van uw cyberbeveiligingsmaatregelen.

NIS2-entiteiten kunnen het CyFun®-framework in 3 stappen gebruiken om te voldoen aan NIS2:

1. Voer een gap-analyse uit met behulp van de CyFun® Self-Assessment Tool.
2. Implementeer de vereiste maatregelen. In uw implementatieplan moeten de cyberbeveiligingsmaatregelen geleidelijk worden geïmplementeerd, rekening houdend met de termijnen aangegeven in stap 7. 
3. Update je zelfevaluatie en verzamel het vereiste bewijsmateriaal om de implementatie te bevestigen.

Essentiële entiteiten moeten hun implementatie regelmatig laten nazien en beoordelen door een derde partij. Dit kan worden geattesteerd door middel van een CyFun®-certificering die wordt toegekend door een geaccrediteerde en geautoriseerde conformiteitsbeoordelingsinstantie (CAB). Essentiële entiteiten moeten het zekerheidsniveau basis of belangrijk behalen voor 18/04/2026, het eindniveau moet gecertificeerd zijn vóór 18/04/2027.

Belangrijke entiteiten kunnen zich onderwerpen aan dezelfde regelmatige conformiteitsbeoordeling onder CyFun®, die hen een vermoeden van conformiteit geeft. 

Houd er rekening mee dat het hebben van het juiste CyFun®-label of -certificaat erg belangrijk kan zijn voor de raden van bestuur en het management om in geval van een incident naleving te kunnen aantonen.

Lijst van geautoriseerde en geaccrediteerde conformiteitsbeoordelingsinstanties: (verschijnt binnenkort).