Nu een nieuwe Europese richtlijn over cyberveiligheid in wet is omgezet, riskeren duizenden Belgische bedrijven sancties als ze zich de komende jaren onvoldoende beschermen tegen hackers en andere digitale belagers. 'Alleen weten veel ondernemers niet of ze onder de nieuwe spelregels vallen of niet.'
Heel wat Belgische bedrijven en instellingen krijgen extra huiswerk nu het parlement deze week het licht op groen heeft gezet om een nieuwe Europese richtlijn over cyberveiligheid om te zetten in nationale wetgeving.
- België zette deze week een uitgebreidere Europese richtlijn over cyberveiligheid om in nationale wetgeving.
- De NIS2-richtlijn bepaalt dat bedrijven in 18 sectoren die essentieel worden geacht voor de economie maatregelen nemen om hun weerbaarheid tegen cyberaanvallen op te krikken. Er bestaat ook een meldplicht voor incidenten.
- De regels zijn van kracht voor bedrijven met meer dan 50 werknemers en een jaaromzet van 10 miljoen euro.
- Wie niet volgens de richtlijn werkt, riskeert stevige sancties.
Volgens de nieuwe richtlijn - NIS2, in het jargon - moeten alle instellingen en ondernemingen met meer dan 50 werknemers of een jaaromzet boven 10 miljoen euro de beveiliging van hun netwerk- en informatiesystemen garanderen als ze actief zijn in sectoren die als kritiek of zeer kritiek voor de nationale economie en veiligheid worden beschouwd.
In totaal gaat het om 18 sectoren zoals energie, financiën, drink- en afvalwater, of digitale infrastructuur. Maar onder andere ook chemiebedrijven, post- en koeriersdiensten of farmaproducenten vallen onder de regelgeving. Al die spelers - de werkgeversorganisatie VBO schat dat het om 2.000 bedrijven gaat - moeten cyberaanvallen of andere incidenten ook melden aan het Belgische Centrum voor Cybersecurity (CCB), dat instaat voor de cyberveiligheid in ons land.
Explosie van cyberaanvallen
Europa scherpte de regelgeving voor cyberbeveiliging aan omdat het aantal digitale aanvallen op ondernemingen en (overheids-)instellingen jaar na jaar toeneemt. In een nieuw rapport over wereldwijde financiële stabiliteit wees het Internationaal Monetair Fonds er deze week nog op dat het aantal cyberaanvallen wereldwijd is verdubbeld sinds het begin van de coronapandemie in 2020.
Die trend zet ook door in België. Alleen al vorige maand werden onder andere de zorgwinkelketen Goed, de brouwerijgroep Duvel Moortgat en de koffiefabrikant Beyers Koffie het doelwit van een aanval.
Ondernemingen die de NIS2-richtlijn volgen, moeten maatregelen nemen om bijvoorbeeld hun productie- en bevoorradingsketen te beveiligen, back-upsystemen op te zetten of personeel meer op te leiden. Maar lang niet alle bedrijven zijn daarvan op de hoogte. 'België bestaat voor 90 procent uit kleine en middelgrote ondernemingen', zegt Nathalie Ragheno, cyberspecialiste bij het VBO. 'Die beseffen vaak nog niet dat ook zij onder de nieuwe richtlijn vallen.'
Grijze zone
'De definities van wat een essentiële of belangrijke onderneming is, is zeer ruim in deze regelgeving', zegt Maarten Toelen van de consultant PwC. 'De voorbije jaren voerde Europa nog meer regelgeving in over cyberveiligheid. Je hebt de DORA-verordening voor financiële bedrijven, de European Cyber Resilience Act en nog een richtlijn voor kritieke nationale infrastructuur. Begin als bedrijf maar eens uit te zoeken welke regelgevingen je allemaal moet volgen.'
Voor wie de nieuwe cyberregels en de eventueel opgelegde maatregelen naast zich neerlegt, zijn de gevolgen niet min. Afhankelijk van hun omvang riskeren bedrijven maximumboetes van 7 tot 10 miljoen euro. Bedrijfsleiders en bestuurders worden mogelijk ook persoonlijk aansprakelijk gesteld. In extremere gevallen kunnen managers zelfs een tijdelijk beroepsverbod krijgen voor leidinggevende functies.
In extreme gevallen kunnen managers zelfs een tijdelijk beroepsverbod krijgen voor leidinggevende functies.
Afhankelijk van hoe ze onder NIS2 worden geclassificeerd, hebben bedrijven tot begin 2026 of begin 2027 de tijd om zich aan te passen aan de nieuwe regelgeving. 'Maar ondernemingen zijn wel meteen verplicht eventuele incidenten te melden. Ook de bestuurders en bedrijfsleiders moeten de nieuwe regelgeving nauwgezet volgen, want mogelijke aansprakelijkheid is niet uitgesloten', zeggen Toelen en Queritet. 'Er is geen tijd meer om te relaxen.'
Artikel uit De Tijd van 20 april
