De NIS2-richtlijn verplicht cyberbeveiligingsmaatregelen voor operatoren van kritieke infrastructuur in heel Europa. In Belgie handhaaft het CCB de naleving met proactieve audits, bestuursaansprakelijkheid en boetes tot EUR 10 miljoen.
De Netwerk- en Informatiebeveiligingsrichtlijn 2 (EU 2022/2555) is de uitgebreide EU-cyberbeveiligingswetgeving voor kritieke infrastructuur. Het vervangt de oorspronkelijke NIS-richtlijn met aanzienlijk uitgebreid toepassingsgebied, strengere handhaving en persoonlijke bestuursaansprakelijkheid.
NIS2 classificeert operatoren in "essentiele" en "belangrijke" entiteiten. Essentiele entiteiten worden proactief gecontroleerd. Beide staan voor verplichte incidentmelding binnen 24 uur en risicobeheersverplichtingen onder Artikel 21.
NIS2 bestrijkt 18 sectoren in twee bijlagen. Bijlage I (essentiele) sectoren omvatten:
In Belgie is het Centrum voor Cybersecurity Belgie (CCB) de bevoegde autoriteit voor NIS2-handhaving. Essentiele entiteiten vallen onder proactief toezicht -- het CCB kan op elk moment bewijs van naleving opvragen, niet alleen na een inbreuk of incident.
Uitgebreid beleid inzake risicoanalyse, inclusief identificatie en beoordeling van risico's voor netwerk- en informatiesystemen.
RX-OS: Geautomatiseerde OT-activainventaris met risicoscores per apparaat, firmwarekwetsbaarheidskaart en continue risicoherbeoordeling.Procedures voor preventie, detectie en respons op cyberincidenten, inclusief meldingsverplichtingen binnen 24 uur.
RX-OS: Realtime anomaliedetectie met hash-geketende gebeurtenislogs. Levert het bewijs dat nodig is voor verplichte incidentmelding aan het CCB.Beveiligingsmaatregelen met betrekking tot de relatie met directe leveranciers en dienstverleners.
RX-OS: Detecteert externe toegangssessies, VPN-verbindingen van leveranciers-IP's en ongeautoriseerde apparaten die tijdens onderhoud worden geintroduceerd.Beveiliging bij verwerving, ontwikkeling en onderhoud van netwerk- en informatiesystemen, inclusief kwetsbaarhedenafhandeling.
RX-OS: Firmwarversietracking, configuratiewijzigingsdetectie en protocolniveau-kwetsbaarheidsidentificatie over alle ontdekte OT/IT-activa.Beleid inzake informatie- en activabeheer, inclusief classificatie van activa op basis van kriticiteit.
RX-OS: Continue passieve OT-activadiscovery en classificatie. Automatisch bijgehouden register met apparaattype, fabrikant, firmwareversie en risicoscore.Gebruik van logging- en monitoringoplossingen om beveiligingsrelevante gebeurtenissen te detecteren en vast te leggen.
RX-OS: Hash-geketende bewijslogs. Elke observatie is voorzien van een tijdstempel en cryptografisch gekoppeld om wijziging achteraf te voorkomen.Elke observatie die RX-OS vastlegt -- apparaatontdekking, anomaliedetectie, configuratiewijziging -- wordt opgeslagen als een hash-geketend bewijsblok. Elk blok bevat een SHA-256 hash van het vorige blok, waardoor een fraudebestendige keten ontstaat.
Als een blok in de keten achteraf wordt gewijzigd, breken alle volgende hashes. Dit levert cryptografisch bewijs dat het bewijs niet is gewijzigd tussen observatie en audit.
Wanneer het CCB bewijs vraagt van uw beveiligingshouding op een specifiek moment, kunt u de keten verstrekken en zij kunnen de integriteit onafhankelijk verifieren. Dit is uw verweer tegen bestuursaansprakelijkheid.
NIS2 Artikel 20 houdt bestuursorganen expliciet persoonlijk aansprakelijk voor het goedkeuren en toezien op de implementatie van cyberbeveiligingsrisicobeheersmaatregelen. Niet-naleving kan leiden tot persoonlijke aansprakelijkheid voor bestuurders en senior management -- inclusief tijdelijke verboden op het uitoefenen van bestuursfuncties.
Dit is niet hypothetisch. De richtlijn verplicht dat bestuursorganen een cyberbeveiligingsopleiding volgen en dat zij persoonlijk de maatregelen goedkeuren en toezien die vereist zijn onder Artikel 21.
Referentie: NIS2-richtlijn (EU) 2022/2555, Artikel 20 -- GovernanceTot EUR 10 miljoen of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Proactief toezicht door CCB.
Tot EUR 7 miljoen of 1,4% van de wereldwijde jaaromzet. Reactief toezicht (na incident).
De nalevingsdeadline is verstreken. Elke dag zonder auditeerbare OT-zichtbaarheid is een dag van blootstelling. Start een pilootproject van twee weken en ontvang uw eerste NIS2-gaprapport.
Demo Aanvragen →