Cybersecurity / FAQ

De NIS2-richtlijn is een Europese wetgeving die de cybersecurityvereisten voor aanbieders van essentiële en belangrijke diensten versterkt. Voor KMO’s betekent dit dat ze moeten voldoen aan strengere beveiligingsnormen om hun netwerken en systemen te beschermen tegen cyberdreigingen wanneer ze geïdentificeerd worden als een NIS2-entiteit of wanneer zij klanten hebben die een NIS2-entiteit zijn.

Niet-naleving kan voor NIS2-entiteiten leiden tot aanzienlijke boetes, reputatieschade en aansprakelijkheid voor éénieder die de wetgeving dient toe te passen binnen zijn of haar onderneming.

Training en bewustwording zijn cruciaal. Zorg ervoor dat uw medewerkers op de hoogte zijn van de risico’s en best practices op het gebied van cybersecurity.

Door proactief te zijn en te investeren in cybersecuritymaatregelen, kunt u de risico’s beperken. Het is ook belangrijk om juridische en technische expertise in te schakelen om te voldoen aan de wetgeving zonder uw bedrijfsvoering te verstoren.

Ja, zowel de bestuurders als éénieder die binnen een NIS2-entiteit de bevoegdheid heeft om een cyberveiligheidsbeleid en maatregelen te implementeren, kunnen persoonlijk aansprakelijk gesteld worden

Ja, zowel binnen de AVG als de NIS2-wetgeving zijn bedrijven verplicht een leveranciersbeoordeling of vendor assessment uit te voeren alvorens zich contractueel te verbinden. Verwerkingsverantwoordelijken of NIS2-entiteiten mogen slechts beroep doen op veilige verwerkers of leveranciers die afdoende cyberveiligheidsmaatregelen hebben genomen.

Meld het datalek binnen 72 uur aan de toezichthoudende autoriteit (in België is dit de Gegevensbeschermingsautoriteit) en informeer de betrokkenen als dat nodig is. Zorg ervoor dat u een intern onderzoek uitvoert om de oorzaak te achterhalen en toekomstige incidenten te voorkomen.

Indien een datalek ook een cyberveiligheidsincident is, dient ook het CSIRT op de hoogte te worden gebracht binnen de 72 uur. Bij vermoedens of bewijs van kwaadwilligheid moet dit binnen de 24 uur gemeld worden.

De Cybersecurityverordening vormt het wettelijk kader voor cyberveiligheidscertificaten voor ICT producten, -diensten en -processen. De organisaties of bedrijven die onder het toepassingsgebied van de NIS2-richtlijn vallen, zullen bij het kiezen van nieuwe ICT producten, -diensten en -processen rekening dienen te houden met het cyberveiligheidscertificaat en het niveau ervan.

Naast contractuele aansprakelijkheid, bestaat ook een risico op burgerlijke aansprakelijkheid jegens derden. 

Ook dient rekening te worden gehouden met het feit dat wanneer de dader wordt gevonden en veroordeeld, een schadevergoeding kan worden afgewezen wegens gedeelde aansprakelijkheid. 

Daarnaast kan de reputatieschade groot zijn, waardoor niet alleen klanten, maar ook werknemers afhaken.

Een effectief cybersecuritybeleid moet richtlijnen bevatten voor gegevensbescherming, incidentrespons, bedrijfscontinuïteit, toegangsbeheer, tijdig patchen en training van medewerkers. Het beleid moet ook regelmatig worden bijgewerkt en getest.