Contacteer ons

Online succes start met je eigen domeinnaam

  • .be € 8,00   € 9,50
  • .nl € 10,00   € 11,50
  • .com € 15,00
  • .eu € 10,00   € 11,50

Op 18 oktober 2024 treedt de NIS2-wetgeving in. Die wetgeving wordt een nieuwe standaard op vlak van cyberbeveiliging waaraan heel wat ondernemers aan moeten voldoen.

Wat is NIS2?

NIS2 (voluit 'Network and Information Security Directive') een Europese richtlijn die strengere eisen stelt op vlak van netwerk- en informatiebeveiliging. Met die richtlijn wil Europa haar lidstaten en dienstverleners aanzwengelen zich beter te wapenen tegen toenemende cyberdreigingen.

In oktober 2024 gaat NIS2 officieel van kracht in België. De impact daarvan is groot. Overheden, kritieke dienstverleners (zoals energieleveranciers) en grote bedrijven moeten hoe dan ook voldoen aan de nieuwe wetgeving. Maar ook kleinere ondernemingen en toeleveranciers moeten rekening houden met striktere standaarden op vlak van hun digitale infrastructuur.

Essentiële en belangrijke bedrijven

Organisaties waarvoor NIS2 geldt worden verdeeld in 2 categorieën: essentiële bedrijven en belangrijke bedrijven. Waar een organisatie precies in valt, hangt af van 2 criteria: de grootte van de organisatie en de sector waarin die actief is.

1. De sectoren waarop NIS2 van toepassing is

Zeer kritieke sectoren (essentieel)

  • Energie
  • Vervoer
  • Banken
  • Infrastructuur voor financiële markten
  • Gezondheidszorg
  • Drinkwater
  • Afvalwater
  • Digitale infrastructuur (o.a. DNS- en clouddiensten)*
  • Beheer van ICT-diensten
  • Overheid
  • Ruimtevaart

Andere kritieke sectoren (belangrijk)

  • Post- en koeriersdiensten
  • Afvalstoffenbeheer
  • Vervaardiging, productie en distributie van chemische stoffen
  • Productie, verwerking en distributie van levensmiddelen
  • Vervaardiging
  • Digitale aanbieders
  • Onderzoek

 

* Het onderscheid tussen zeer kritieke en andere kritieke sectoren is een van grote lijnen. Organisaties binnen sommige sectoren, zoals die van digitale infrastructuur, worden hoe dan ook als essentiële entiteit beschouwd, ongeacht de omvang van de organisatie.

2. De grootte van de organisatie

Een organisatie is groot als zij:

  • Minimaal 250 werknemers heeft; of
  • Een jaaromzet heeft van meer dan 50 miljoen euro.

Een organisatie is middelgroot als zij:

  • Minimaal 50 werknemers heeft; of
  • Een jaaromzet heeft van meer dan 10 miljoen euro.

Essentieel of belangrijk?

Op basis van bovenstaande criteria worden organisaties onderverdeeld in essentiële en belangrijke entiteiten.

Een organisatie is essentieel als zij:

  • Een grote organisatie is en diensten verleent in een zeer kritieke sector.

Een organisatie is belangrijk als zij:

  • Een middelgrote organisatie is en diensten verleent in een zeer kritieke sector; of
  • Een grote of middelgrote organisatie is en diensten verleent in een andere kritieke sector.

Waarom een onderscheid?

Het onderscheid tussen essentiële en belangrijke organisaties wordt voornamelijk gemaakt voor controle en sancties. Essentiële organisaties worden proactief en streng gecontroleerd, belangrijke organisaties worden pas gecontroleerd na incidenten of wanneer er aanwijzingen zijn dat zij niet voldoen aan de regelgeving.

NIS2 in 3 pijlers

Zowel essentiële als belangrijke organisaties moeten aan verschillende maatregelen voldoen. Die verplichtingen kan je samenvatten in 3 pijlers.

1. De registratie van organisaties

Organisaties die onder het NIS2-beleid vallen, moeten zich registreren bij het Centrum voor Cybersecurity België (CCB). Dat kan via het registratieplatform Safeonweb@Work.

Die registratie moet uiterlijk afgerond zijn voor 18 maart 2025. Organisaties die domeinnamen registreren, hosting- en clouddiensten bieden of zich toeleggen op beveiligingsdiensten, moeten dat echter al voor 18 december 2024 doen. Online dienstverleners in brede zin zijn dus verplicht zich nog dit jaar aan te melden bij het CCB.

2. Risicobeoordeling en beheersmaatregelen

Organisaties moeten zich grondig voorbereiden op mogelijke risico's en maatregelen treffen om zich daartegen te beschermen. Een organisatie moet dus een beleid opstellen dat is afgestemd op de eigen situatie. Dat houdt het volgende in:

  • Een risicoanalyse: om in kaart te brengen wat cruciaal is voor een normale dienstverlening en welke bedreigingen de werking onder druk (kunnen) zetten. Die analyse moet bovendien regelmatig geëvalueerd worden.
  • Een continuïteitsplan: waarin de organisatie alle maatregelen verzamelt om de werking van de dienstverlening te garanderen, ook in geval van incidenten.
  • Beveiligingsmaatregelen: een standaardpakket aan maatregelen en acties dat cyberincidenten helpt te voorkomen.

3. De meldingsplicht

NIS2 stelt ook dat belangrijke en essentiële organisaties verplicht melding moeten maken van significante incidenten. Elk voorval dat gevolgen heeft op de dienstverlening (en die van partners en toeleveranciers), of personen schade berokkent, moet in kaart worden gebracht bij het CCB.

Elke organisatie moet binnen de 24 uur een eerste waarschuwing geven van zo'n incident. Binnen de 72 uur moet meer uitleg over het specifieke incident worden verschaft.

Wat doet nomeo?

Als aanbieder van domeinnamen en DNS-diensten valt nomeo in de categorie van essentiële entiteiten. Dat betekent dat nomeo als organisatie onderworpen wordt aan strenge beveiligingsmaatregelen en regelmatig zal worden gecontroleerd op de naleving daarvan.

Omdat nomeo in bezit is van een ISO 27001-certificaat, beantwoorden we al aan een internationale norm voor informatiebeveiliging. We hebben concrete processen voor:

  • Het beschermen van alle gegevens
  • De drastische verlaging van het risico op cyberincidenten
  • De garantie van onze continuïteit in geval van een incident
  • Het verhogen van de weerbaarheid van onze organisatie

Bovenop het framework van ISO 27001, doen we er alles aan om te voldoen aan alle maatregelen die NIS2 aan essentiële entiteiten oplegt.

Wat is de impact op onze klanten, partners en resellers?

In afwachting van de definitieve Belgische wetgeving, is het nog onduidelijk hoe groot de impact van NIS2 precies is. Zeker is wel dat digitale dienstverleners hun weerbaarheid tegen cyberincidenten moeten aanscherpen.

Impact op onze klanten

Klanten die een (Europese) domeinnaam bij nomeo registreren, kunnen zich verwachten aan een (extra) identiteitscontrole. Een van de hoofdpunten van NIS2 is een sterk gegevensbeleid. De naam, het e-mailadres en telefoonnummer dat je opgeeft bij de registratie van een domeinnaam, moeten waarschijnlijk geverifieerd worden.

Hoe die controle zal lopen, is nog niet bekend. Waarschijnlijk zal die verificatie op een gelijkaardige manier verlopen als vandaag al gebeurt voor de registratie van internationale domeinnamen (gTLD's), waarbij de domeinnaamhouder via een e-mail zijn/haar gegevens moet bevestigen vooraleer de domeinnaam op actief wordt gezet.

Impact op onze partners en resellers

Ook de impact op onze partners en resellers is nog moeilijk in te schatten. Aanbieders van DNS- en clouddiensten worden sowieso onderworpen aan NIS2, omdat ze een essentieel bedrijf zijn. Partners en resellers die alleen domeinnamen aanbieden worden gecategoriseerd als belangrijk en worden daarom minder streng beoordeeld.

We blijven de ontwikkelingen binnen NIS2 nauwgezet opvolgen. Zodra de definitieve wettekst beschikbaar is, zullen we voor zowel onze klanten als onze partners en resellers voldoende informatie voorzien om te garanderen dat alle dienstverlening blijft lopen zoals die hoort.

Wil je meer weten over NIS2? Of jouw organisatie eronder valt en welke stappen je precies moet zetten? Dan kan je nomeo steeds bereiken op 0800/26 800 of via support@nomeo.be

Hulp nodig?
Aarzel niet om ons te contacteren.

0800 26 800
welkom@nomeo.be Contacteer ons
nomeo support team
X