Gedaan met laden. U bevindt zich op: Wat betekent de aankomende NIS2-richtlijn (cybersecurity wetgeving) voor leidinggevenden bij de overheid? Digitaal Vlaanderen

Wat betekent de aankomende NIS2-richtlijn (cybersecurity wetgeving) voor leidinggevenden bij de overheid?

Blogbericht
14 mei 2024

In oktober 2024 gaat de “GDPR voor cybersecurity” in België van kracht. Als leidinggevende bij de Vlaamse overheid zal dit een gevoelige impact hebben op uw dagdagelijkse werking. In dit overzicht vindt u de essentie van wat u moet weten over de Europese richtlijn NIS2 en concreet advies om aan de wetgeving te voldoen.

Wat is NIS2?

NIS staat voor Network & Information Systems. Het doel van de wetgeving is om Europa beter te beschermen tegen cyberbedreigingen en de bedrijven weerbaarder te maken. Daarnaast moet NIS2 ook leiden tot een goede samenwerking waarbij informatie rond dreigingen en incidenten vlot kan gedeeld worden. NIS2 is de uitbreiding (meer sectoren, waaronder ook overheden) en uniformisering (verschil tussen lidstaten wegwerken) van NIS1, die al sinds 2016 bestaat. NIS2 is voor cyberveiligheid wat GDPR voor gegevensbescherming is en kan beschouwd worden als de eerste echte securitywetgeving in Europa.

Overheden toegevoegd aan NIS2

De NIS2-wet identificeert federale en gefedereerde overheden als belangrijke publieke overheidsorganisaties, net zoals energie, vervoer, bankwezen, financiële markten, gezondheid, drinkwater, digitale infrastructuur en ruimtevaart. Dat betekent dat de overheid aan dezelfde strenge veiligheidsnormen moet voldoen als commerciële bedrijven in dezelfde categorie. Lokale besturen, bv. gemeenten, provincies, intercommunales of OCMW-verengingen, zijn in principe niet onderworpen aan de NIS2-wet. Alleen als ze hoofdzakelijk een kritieke activiteit uitvoeren, zoals drinkwaterbeheer, afvalbeheer of publieke ziekenhuizen, moeten ze conform de wet handelen. Goed om te weten, maar buiten beschouwing van dit document: ook (diensten)leveranciers die overheden ondersteunen, vallen in bepaalde gevallen onder NIS2. Kleine en micro-ondernemingen (minder dan 50 werknemers) moeten weliswaar aan cyberveiligheid doen, maar vallen buiten het bereik van NIS2.

NIS2 ziet digitale veiligheid als de verantwoordelijkheid van de hele organisatie, niet alleen ICT

NIS2 legt een sterke verantwoordelijkheid bij de organisatie en organisatiebeheersing. Naast de technische aspecten van digitale veiligheid, beschrijft de wet de rol en de verantwoordelijkheid van leidinggevenden binnen de organisatie. Wie vult welke rol in? Welke verantwoordelijkheid draagt u? NIS2 gaat hierin veel verder dan NIS1 en kan bij flagrante niet-conformiteit ook managementteams aansprakelijk stellen. Dit wordt beschreven in artikel 20 van NIS2 en artikel 31 van de Belgische omzetting.

Impact op vier niveaus

De eisen die NIS2 oplegt, kunnen high-level worden samengevat in 4 domeinen: management, processen, risicobeheer en bedrijfscontinuïteit.

  1. Management: binnen NIS2 moet het management de vereisten kennen en verantwoordelijkheid opnemen om risico’s in kaart te brengen en aan te pakken. Zij moeten er ook voor zorgen dat regelmatig bewustzijnscampagnes naar alle medewerkers worden gevoerd zodat er een echte cultuur van veiligheid in de organisatie ontstaat.
  2. Processen: informatieveiligheid is een cyclisch proces dat duidelijke regels en hulpmiddelen vraagt. NIS2 vereist dat processen rond o.a. informatieclassificatie, aanpak en rapporteren van incidenten, beveiliging van de toeleveringsketen, ontwikkelen van veilige informatiesystemen en digitale hygiëne gedefinieerd worden.
  3. Risicobeheer: een incident vermijden is moeilijk, ervoor zorgen dat de impact beperkt blijft en de dienstverlening gewaarborgd blijft, kan wel degelijk. Door informatie te classificeren en een goed overzicht te behouden van de risico’s kan de organisatie zich weerbaar opstellen. Het management houdt te allen tijde een vinger aan de pols en zorgt ervoor dat voldoende middelen (budget en menskracht) beschikbaar zijn.
  4. Bedrijfscontinuïteit: elke organisatie binnen NIS2 dient over een plan te beschikken om de continuïteit te garanderen ingeval van grote cyberaanvallen. Dat kan bijvoorbeeld door de inrichting, testen en evalueren van een incident response en disaster recovery en crisisbeheerplannen.

Concreet advies

Overheden zouden minimaal de volgende maatregelen moeten nemen. Wie voldoet aan deze maatregelen, neemt een gevleugelde start om aan de NIS2 wetgeving te voldoen. Meer informatie vindt u bij Digitaal Vlaanderen.

  1. Bewustwording: Digitaal Vlaanderen zet een bewustwordingscampagne en trainingen in om zowel leidinggevenden als alle VO-medewerkers te sensibiliseren rond digitale veiligheid. De maturiteit van uw organisatie kan worden nagegaan door actief te testen rond basishygiëne. Medewerkers alert houden gebeurt met campagnes, het simuleren van cyberaanvallen, etc.
  2. Risicoanalyse en toepassen informatieclassificatie: Digitaal Vlaanderen ontwikkelde een gevalideerde methode voor informatieclassificatie. Ze vormt de basis voor het identificeren van de ‘kroonjuwelen’ van uw organisatie. Deze gegevens, processen, producten en diensten zijn cruciaal en moeten zo goed mogelijk worden beveiligd.
  3. Gegevensbescherming: via bijv. encryptie, dataminimalisatie, minimale gegevensverwerking en toegangsbeheer. Een organisatie die zelf zo weinig mogelijk persoonsgegevens bijhoudt, is minder aantrekkelijk voor cybercriminelen. Digitaal Vlaanderen biedt oplossingen aan die u daarbij helpen.
  4. Procedures rond rapporteren en aanpakken van een incident: u kunt Digitaal Vlaanderen inschakelen voor het ter beschikking stellen van een CISO of informatieveiligheidsconsulent. Deze ondersteunt bij het definiëren van rollen, verantwoordelijkheden en het in kaart brengen van procedures ingeval van een incident. Een CISO houdt ook toezicht op naleving en rapportering aan de directie.
  5. Beveiliging van de systemen: veilig aanmelden op infrastructuur, apparatuur en applicaties, ook thuis, verloopt best via multifactorauthenticatie van Toegangsbeheer Vlaanderen ACM/IDM. Dankzij deze dienstverlening van Digitaal Vlaanderen vermijdt u het minder veilige gebruikersnaam en paswoord.
  6. Bedrijfscontinuïteit: Digitaal Vlaanderen adviseert Vlaamse entiteiten om zich voor te bereiden op crisismanagement, een plan op te stellen, het voorbereiden van backups,…

Nu starten

Uiterlijk op 17 oktober 2024 moet de NIS2-richtlijn omgezet zijn in nationale wetgeving. Het komt dus razendsnel op ons af. Bovendien is er geen enkele reden om uit te stellen. Integendeel: er zijn talloze redenen om vandaag al te beginnen. Bovenstaande grafiek geeft een overzicht van de ondersteuning die Digitaal Vlaanderen aanbiedt als antwoord op de maatregelen voorzien in NIS2.