Toezicht en sancties NIS2

Als we het hebben over toezicht in het kader van de NIS2-wet, moeten we onderscheid maken tussen twee categorieën entiteiten: essentiële entiteiten en belangrijke entiteiten. Het belangrijkste verschil tussen de twee heeft betrekking op toezicht en sancties:

  • Essentiële entiteiten staan onder proactief (“ex-ante“) en reactief (“ex-post“) toezicht. Meer specifiek worden essentiële entiteiten onderworpen aan verplichte regelmatige conformiteitsbeoordelingen. 
  • Belangrijke entiteiten zijn in principe alleen onderworpen aan “ex-post” toezicht, d.w.z. na een incident of op basis van bewijzen, aanwijzingen of informatie dat een belangrijke entiteit de verplichtingen van de wet niet naleeft.

Dit hoofdstuk gaat in detail in op hoe het toezicht zal verlopen, welke deadlines entiteiten moeten respecteren en welke sancties kunnen worden opgelegd.

Toezicht en sancties NIS2

Toezicht op essentiële en belangrijke entiteiten

Aangezien de Nederlandse wetgeving nog niet is goedgekeurd worden de mogelijk toezicht en sanctie maatregelen voor NIS2 naleving vanuit de Belgische wetgeving bekeken. 

In België gelden de volgende maatregelen : 

Essentiële entiteiten moeten een verplichte regelmatige conformiteitsbeoordeling ondergaan. Deze beoordeling wordt uitgevoerd op basis van een keuze die de entiteit maakt uit drie opties: 

  • Een CyberFundamentals (CyFun®)-certificering (niveau Essential) of -verificatie (niveau Important of Basic) met het relevante toepassingsgebied, toegekend door een conformiteitsbeoordelingsinstantie (CAB) die is goedgekeurd door het CCB na accreditatie door BELAC;
  • Een ISO/IEC 27001-certificering met het relevante toepassingsgebied, toegekend door een CAB die is geaccrediteerd door een accreditatie-instelling die de overeenkomst inzake wederzijdse erkenning (MLA) voor de ISO 27001-norm ondertekend heeft in het kader van de European co-operation for Accreditation (EA) of het International Accreditation Forum (IAF);
  • Een inspectie door de inspectiedienst van het CCB (of door een sectorale inspectiedienst).

De conformiteitsattest die essentiële entiteiten ontvangen na de conformiteitsbeoordeling van het door hen gekozen kader, stelt hen in staat te profiteren van een vermoeden van conformiteit. Tot het tegendeel is bewezen, worden ze verondersteld hun verplichtingen te zijn nagekomen.

Omdat essentiële entiteiten proactief en reactief worden gecontroleerd, kan de inspectiedienst ze ook op elk moment inspecteren. Voor belangrijke entiteiten wordt het toezicht enkel “ex-post” uitgevoerd door de inspectiedienst. In principe zijn ze dus niet onderworpen aan een regelmatige conformiteitsbeoordeling. Deze entiteiten kunnen zich echter vrijwillig onderwerpen aan hetzelfde regime als essentiële entiteiten en krijgen als zodanig ook een vermoeden van conformiteit.

Tijdens zijn controle kan de inspectiedienst van het CCB (of een sectorale inspectiedienst, of beide samen) inspecties ter plaatse uitvoeren, toezicht ter plaatse houden, ad-hocaudits, maar ook van beveiligingsscans en algemene verzoeken om informatie en bewijsmateriaal uitvoeren. Alle NIS2-entiteiten moeten altijd voldoen aan de verzoeken van de inspectiedienst(en). Doen ze dat niet, dan lopen ze administratieve boetes op.

Essentiële en belangrijke entiteiten hebben ook de mogelijkheid om een CyFun® -zekerheidsniveau te gebruiken dat lager is dan hun NIS2-classificatie. Een essentiële entiteit zou bijvoorbeeld, op basis van een volledige risicoanalyse, het gebruik van het CyFun® -niveau “Important” kunnen rechtvaardigen. Deze keuze zou geen afbreuk doen aan zijn classificatie als essentiële entiteit volgens de NIS2-wet. Er moet worden opgemerkt dat de inspectiedienst een entiteit kan sanctioneren voor het ten onrechte conformeren aan een lager CyFun® -niveau.

Tijdlijn supervisie NIS2

De NIS2-wet en het Koninklijk Besluit treden in België in werking op 18 oktober 2024. Bijgevolg zullen alle verplichtingen van de wet en het Koninklijk Besluit vanaf die datum van toepassing zijn op essentiële en belangrijke entiteiten (cyberbeveiligingsmaatregelen, melding van incidenten, enz.).

De controle van essentiële entiteiten vindt dan gradueel verlopen, op basis van het gekozen traject voor de regelmatige conformiteitsbeoordeling. 

Niet later dan 18 april 2026 moeten essentiële entiteiten, als onderdeel van de eerste verplichte conformiteitsbeoordelingen, ten minste:

  1. Ofwel een CyFun® -niveau Important verificatie verkrijgen, in het kader van een beoordeling uitgevoerd door een conformiteitsbeoordelingsinstantie (CAB) op basis van het CyFun® -kader ;
  2. Ofwel de toepassingsgebied en de statement of applicability voorleggen aan de CCB als onderdeel van een beoordeling uitgevoerd door een CAB op basis van de ISO/IEC 27001 norm;
  3. Of een CyFun® -zelfevaluatie van niveau Important* (*of niveau Basic afhankelijk van het resultaat van de risicoanalyse) voorleggen aan het CCB, in het kader van een evaluatie uitgevoerd door de inspectiedienst van het CCB;
  4. Ofwel het informatiebeveiligingsbeleid, de toepassingsgebied en de statement of applicability van de ISO/IEC 27001-norm voorleggen aan het CCB, in het kader van een beoordeling door de CCB-inspectiedienst. 

Uiterlijk 18 april 2027 moeten essentiële entiteiten die kiezen voor een CyFun® of ISO/IEC 27001 certificering deze hebben verkregen.

Voor entiteiten die geïdentificeerd zijn door het CCB (zoals uitgelegd aan het einde van het toepassingsgebied-sectie hierboven), beginnen deze termijnen te lopen op de dag dat de identificatie wordt meegedeeld aan de betrokken entiteit.

Source CCB Belgium

Sancties NIS2

De Belgische wetgeving heeft voor NIS2 boetes opgesteld zowel administratief alsook voor het niet voldoen aan alle vereisten. We zijn uiteraard benieuwd welke maatregelen de Nederlandse overheid zal communiceren bij de Nederlandse NIS2 publicatie in Q3 2025.

Hieronder kan u een overzicht terugvinden van de Belgische boetes voor het niet naleven van de gestelde eisen :

Inspecteurs kunnen ter plaatse gaan, notulen opmaken en rapporten schrijven. Op basis van deze bevindingen kan een procedure worden gestart om een entiteit te bevelen een einde te maken aan een overtreding en, indien nodig, passende administratieve maatregelen te nemen, variërend van waarschuwingen tot administratieve boetes.

Mogelijke administratieve maatregelen en boetes worden door de richtlijn vastgesteld. Als een maatregel of boete nodig wordt geacht, wordt altijd de facto rekening gehouden met de situatie en eventuele herhaalde overtredingen, zodat de maatregel of boete evenredig is.

De volgende administratieve boetes kunnen worden opgelegd (verdubbeld bij herhaaldelijk gedrag binnen een periode van 3 jaar):

  • 500 tot 125.000 euro voor het niet voldoen aan de rapportageverplichtingen van artikel 12 (identificatieproces);
  • 500 tot 200.000 euro voor een entiteit die een van haar werknemers of onderaannemers heeft gesanctioneerd voor het te goeder trouw en binnen het kader van hun taken uitvoeren van de verplichtingen van de wet;
  • 500 tot 200.000 euro voor het niet voldoen aan toezichtverplichtingen;
  • 500 tot 7.000.000 euro of, indien dit hoger is, 1,4 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van het bedrijf waartoe de entiteit behoort [belangrijke entiteiten];
  • 500 tot 10.000.000 euro of, indien dit hoger is, 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar van de onderneming waartoe de entiteit behoort [essentiële entiteiten].

Het CCB kan ook de volgende administratieve maatregelen opleggen:

  • Waarschuwingen of bindende instructies geven;
  • Instrueren om een gedrag te stoppen of om risicobeheersmaatregelen of rapportageverplichtingen in overeenstemming te brengen;
  • Instrueren om de natuurlijke of rechtsperso(o)n(en) aan wie zij diensten verlenen te informeren of om vastgestelde overtredingen openbaar te maken;
  • Een controlefunctionaris benoemen [essentiële entiteiten];
  • Instrueren om de voorgestelde aanbevelingen uit te voeren;
  • Temp. een certificering of vergunning tijdelijk opschorten met betrekking tot alle of een deel van de relevante verleende diensten [essentiële entiteiten];
  • Temp. de uitoefening van leidinggevende functies tijdelijk verbieden [essentiële entiteiten].

Het uiteindelijke doel van deze maatregelen en boetes is om het niveau van cyberbeveiliging van essentiële en belangrijke entiteiten te versterken en daarmee ook het niveau van cyberbeveiliging van het hele land.

Source CCB Belgium

Meest Gestelde Vragen

Bekijk onze FAQ-sectie waar je de eerste vragen kunt vinden die de afgelopen maanden aan ons zijn gesteld.

Contact opnemen

  • Welke rol spelen Computer Security Incident Response Teams (CSIRT's) onder de NIS2-richtlijn?

    CSIRT’s zijn verantwoordelijk voor het monitoren, detecteren en reageren op incidenten. Ze bieden mogelijkheden voor vroegtijdige waarschuwing, risicobeoordeling en incidentrespons om exploitanten van essentiële diensten en leveranciers van digitale diensten bij te staan.

  • Wat is de NIS2-richtlijn?

    De NIS2-richtlijn heeft tot doel het algemene niveau van cyberbeveiliging in de EU te verhogen door maatregelen vast te stellen die moeten zorgen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de lidstaten. De richtlijn is een bijwerking en uitbreiding van de oorspronkelijke richtlijn inzake netwerk- en informatiebeveiliging.

  • Welke toekomstige ontwikkelingen kunnen worden verwacht met betrekking tot de NIS2-richtlijn?

    Toekomstige ontwikkelingen zijn onder andere de verfijning van nationale wetten om volledig te voldoen aan de richtlijn, het opzetten van robuustere kaders voor cyberbeveiliging, voortdurende updates om nieuwe bedreigingen aan te pakken en verbeterde samenwerking op EU-niveau om te zorgen voor een uniforme en effectieve cyberbeveiligingshouding.

  • Welke samenwerkingsmechanismen stelt de NIS2-richtlijn vast?

    De NIS2-richtlijn richt samenwerkingsgroepen op om de strategische samenwerking en informatie-uitwisseling tussen de lidstaten te vergemakkelijken. De richtlijn creëert ook een netwerk van nationale CSIRT’s om effectieve operationele samenwerking te garanderen.

  • Wat zijn de NIS2-richtlijnen?

    De NIS2-richtlijnen (Network and Information Security) zijn een reeks verordeningen die de Europese Unie heeft ingevoerd om de cyberveiligheid van kritieke infrastructuur en essentiële diensten in alle lidstaten te verbeteren. De richtlijnen zijn bedoeld om een hoog gemeenschappelijk niveau van cyberbeveiliging in de EU te waarborgen door organisaties te verplichten robuuste beveiligingsmaatregelen te implementeren en significante incidenten te melden.

  • Wat zijn de vereisten voor het melden van incidenten volgens de NIS2-richtlijn?

    Entiteiten moeten incidenten met een significante impact op de levering van hun diensten zonder onnodige vertraging melden aan de relevante nationale autoriteit. De eerste melding moet worden gevolgd door een definitief rapport zodra de oorzaak en de impact volledig zijn begrepen.

  • Verplichtingen voor exploitanten

    De NIS2-richtlijn heeft betrekking op een breed scala aan sectoren, waaronder energie, vervoer, bankwezen, infrastructuur voor de financiële markt, gezondheidszorg, drinkwatervoorziening en -distributie, digitale infrastructuur, openbare en particuliere infrastructuur, enzovoort.

  • NIS2 Toepassingsgebied en dekking

    Exploitanten van essentiële diensten moeten passende en proportionele technische en organisatorische maatregelen treffen om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheren. Dit omvat incidentafhandeling, bedrijfscontinuïteit, monitoring, auditing en controle.

  • Hoe wordt naleving van de NIS2-richtlijn afgedwongen en welke sancties kunnen worden opgelegd?

    Nationale autoriteiten zijn bevoegd om audits en inspecties uit te voeren. Sancties voor niet-naleving kunnen bestaan uit boetes, administratieve sancties en reputatieschade. De exacte sancties worden bepaald door elke lidstaat.

  • Hoe kan een SOC, organisaties helpen, om te voldoen aan de NIS2-richtlijnen?

    Een SOC kan organisaties helpen te voldoen aan de NIS 2-richtlijnen door:

    • Monitoring en detectie: Het bieden van continue monitoring om beveiligingsincidenten in realtime te detecteren en erop te reageren.
    • Reactie op incidenten: Het implementeren van effectieve incidentresponsprocedures om de impact van beveiligingslekken te beperken.
    • Rapportage: Zorgen voor tijdige en accurate rapportage van significante incidenten aan de relevante autoriteiten.
    • Informatie over bedreigingen: De organisatie op de hoogte houden van nieuwe bedreigingen en kwetsbaarheden.
    • Beveiligingsaudits: Regelmatige beveiligingsaudits en -beoordelingen uitvoeren om ervoor te zorgen dat wordt voldaan aan de NIS 2-vereisten.