België als een van de enige landen klaar voor NIS2
Op vrijdag 18 oktober gaat de Europese NIS2-richtlijn van kracht, maar vrijwel geen enkele lidstaat heeft de regels daarrond al omgezet in nationale wetgeving. Enkel België en Kroatië zijn klaar met hun huiswerk.
Alle Europese wetgeving wordt doorgaans per lidstaat omgezet in nationale wetgeving, soms met kleine lokale aanpassingen. Dat maakt dat veel Europese wetten pas 1-2 jaar na hun stemming lokaal van kracht zijn. De NIS2-regels werden op 14 december 2022 gestemd in het Europees Parlement.
Voor de omzetting daarvan hinken de meeste lidstaten achterop. De EU zegt dat enkel België en Kroatië melding hebben gemaakt van nationale wetgeving rond de cybersecurityrichtlijn.
Ons land publiceerde op 26 april dit jaar de wet die NIS2 omzet in nationale wetgeving, die werd op 17 mei in het Belgisch Staatsblad gepubliceerd. Op 9 juni volgde het Koninklijk Besluit (gepubliceerd op 26 juni 2024) ter vervollediging van de omzetting.
Kroatië deels klaar
Daarmee staat ons land vrijwel alleen, samen met Kroatië dat in februari al een nationaal kader schiep. Al merkt Euronews op dat die omzetting slechts een gedeeltelijke omzetting is. We moeten daarbij wel opmerken dat klaar zijn met nationale wetgeving uiteraard niet wil zeggen dat ook alle bedrijven klaar zijn. Omgekeerd wil het niet zeggen dat bedrijven niet klaar zijn omdat er geen nationale wetgeving is. Maar de stok achter de deur om de regels toe te passen, ontbreekt dan wel.
NIS2 staat voor de Network and Information Security Directive en is de opvolger van de eerste NIS-wetgeving uit 2016. Het verstrengt en verfijnt de regels voor bedrijven rond het aanpakken van securityrisico’s, ook in hun toeleveringsketen.
Zo vereist het dat bedrijven aan risicomanagement doen en bijvoorbeeld bij ernstige incidenten die de operationele werking verstoren binnen de 24 uur een waarschuwing moeten geven en binnen de 72 uur een incidentenrapport moeten hebben. Bedrijven die daar niet aan voldoen riskeren, vergelijkbaar met de GDPR-wetgeving, een boete tot tien miljoen euro of twee procent van hun wereldwijde omzet.
Fout opgemerkt of meer nieuws? Meld het hier