CyberFundamentals verificatie en
certificering NIS2

De NIS2-wet vervangt de eerdere NIS1-wet en implementeert de EU-richtlijn 2022/2555
in België. Het doel is om de cyberbeveiliging van netwerken en informatiesystemen die
van algemeen belang zijn voor de openbare veiligheid te versterken.

Organisaties die onder het toepassingsgebied vallen moeten aantonen dat zij aan de
NIS2-wet voldoen. Dit kan in België door middel van verificatie of certificering onder
CyberFundamentals.

Op deze pagina vindt u alles wat u moet weten over verificatie/certificering voor NIS2
door middel van CyberFundamentals. 

Toepassingsgebied van de NIS2

Om onder de Belgische NIS2-wet te vallen, moet een organisatie in België gevestigd zijn en een dienst leveren die in bijlage I en II van de NIS2-wet staat. De drempelwaarden voor middelgrote ondernemingen moeten worden overschreden. Dit omvat onder andere middelgrote ondernemingen met meer dan 50 werknemers of een jaaromzet van meer dan €10 miljoen.

Via deze NIS2-scope-test-tool test u of uw organisatie een zogenaamde essentiële of belangrijke entiteit is.  

Verplichtingen aan belangrijke en essentiële entiteiten

De NIS2-wet legt een aantal verplichtingen op aan essentiële en belangrijke entiteiten. Organisaties binnen het toepassingsgebied moeten maatregelen nemen om hun cyberbeveiliging te verbeteren, incidenten te beheren en te rapporteren.  

  1. Registratie
    NIS2-entiteiten die onder het toepassingsgebied van de Belgische NIS2-wet vallen, moeten hun organisatie registreren bij het Centrum voor Cybersecurity België CCB;
  2. Maatregelen cyberbeveiligingsrisico’s
    Essentiële en belangrijke entiteiten moeten geschikte maatregelen nemen om hun netwerken en informatiesystemen te beveiligen, incidenten te voorkomen, en de impact van incidenten op hun klanten en andere diensten te beperken; 
  3. Melden van significante incidenten
    Beide entiteiten moeten het nationale CSIRT (in België is dit het CCB) informeren over elk groot incident dat hun diensten beïnvloedt, inclusief informatie over mogelijke grensoverschrijdende effecten; 
  4. Verantwoordelijkheid management
    Bestuursorganen van NIS2-entiteiten moeten cyberbeveiligingsmaatregelen goedkeuren en toezicht houden op de uitvoering ervan. Als de entiteit deze maatregelen niet naleeft, is het bestuursorgaan verantwoordelijk. 

Essentiële entiteiten moeten tevens een verplichte regelmatige conformiteitsbeoordeling ondergaan, waarbij ze kunnen kiezen uit drie opties: een CyberFundamentals-certificering, een ISO/IEC 27001-certificering, of een inspectie door de inspectiedienst van het CCB. 

Belangrijke entiteiten moeten zelf een risicobeoordeling uitvoeren en passende beveiligingsmaatregelen nemen om hun netwerken en informatiesystemen te beschermen.  

Toezicht en sancties

Het CCB is aangewezen als de nationale autoriteit voor cyberbeveiliging en zal toezicht houden op de naleving van de wet.  

Boetes

Het CCB kan boetes opleggen voor niet rapporteren, bestraffen van werknemers, en niet naleven van toezicht. Er kunnen hoge boetes worden opgelegd aan belangrijke en essentiële entiteiten gebaseerd op omzet. 

Waarschuwingen

Ook kunnen er door het CCB waarschuwingen worden opgelegd, onder andere instructies om gedrag te stoppen of aan te passen, het openbaar maken van overtredingen, het benoemen van een controlefunctionaris, het uitvoeren van aanbevelingen, opschorten van certificeringen of vergunningen en verbod op leidinggevende functies voor essentiële entiteiten. 

Voor wie is de CyberFundamentals-certificering bedoeld?

De NIS2-wet is van toepassing op organisaties die essentiële diensten leveren zoals vermeld in bijlage I en II van de wet. CyberFundamentals is geschikt voor: 

  • Kleine en middelgrote ondernemingen (KMO’s): Die hun basisbeveiliging op orde willen brengen zonder complexe beheerssystemen; 
  • Grote ondernemingen: Die een solide fundament willen leggen voor verdere beveiligingsmaatregelen zoals ISO 27001; 
  • Publieke en semi-publieke instellingen: Die verplicht zijn om aan de eisen van de NIS2-richtlijn te voldoen; 
  • Dienstverleners en toeleveranciers: Die klanten zekerheid willen bieden over hun informatiebeveiliging. 

Kortom, de certificering is relevant voor elke organisatie die cyberveiligheid serieus neemt en/of wil voldoen aan wet- en regelgeving. 

Waarom CyberFundamentals-certificering belangrijk is voor uw organisatie

Het behalen van de CyberFundamentals-certificering biedt tal van voordelen voor Belgische organisaties die hun cyberbeveiliging naar een hoger niveau willen tillen.

De belangrijkste voordelen zijn: 

  • Bescherming tegen cyberdreigingen: Minimaliseert de kans op datalekken en cyberaanvallen;
  • Vertrouwen van klanten en partners: Laat zien dat uw organisatie serieus werk maakt van cyberveiligheid;
  • Wettelijke naleving: Helpt voldoen aan de NIS2-richtlijn die vanaf april 2024 verplicht is in België;
  • Operationele continuïteit: Vermindert de kans op bedrijfsverstoringen door cyberincidenten;
  • Continue verbetering: Ondersteunt bij het regelmatig evalueren en optimaliseren van beveiligingsmaatregelen. 

Niveaus van CyberFundamentals

CyberFundamentals kent in het kader van verificatie of certificering drie niveaus, elk gericht op organisaties van verschillende omvang en risicoprofiel: 

Basic
Het zekerheidsniveau Basic omvat standaardmaatregelen voor informatiebeveiliging die geschikt zijn voor alle bedrijven. Deze maatregelen bieden effectieve bescherming met technologie en processen die meestal al beschikbaar zijn. Indien nodig, worden de maatregelen aangepast en verfijnd. 

Important
Het zekerheidsniveau Important is ontworpen om, naast de bekende cyberbeveiligingsrisico’s, ook de risico’s op gerichte cyberaanvallen door actoren met gangbare vaardigheden en middelen te minimaliseren. 

Essential
Het zekerheidsniveau Essential biedt extra bescherming tegen geavanceerde cyberaanvallen door actoren met uitgebreide vaardigheden en middelen. 

Het verificatie- of certificeringsproces

Om een CyberFundamentals verificatie of certificering te behalen dient een organisatie de volgende stappen te doorlopen:

  • Voer een risicobeoordeling uit
    Gebruik de CyFun Selection Tool om het juiste zekerheidsniveau te selecteren;

 

  • Voltooi uw Self Assessment en implementeer corrigerende maatregelen
    Gebruik de CyFun Self-Assessment Tool voor zelfbeoordeling en managementrapportage;

 

  • Vraag een verificatie of audit aan bij Brand Compliance
    Laat uw Self Assessment en corrigerende maatregelen verifiëren of certificeren door Brand Compliance;

 

  • Vraag uw label aan op Safeonweb@work
    Na afronding van het conformiteitsbeoordelings-proces met uw Certificatie-instelling, vraagt u uw CyFun label aan.

Proces bij Brand Compliance

Het proces bij Brand Compliance komt er als volgt uit te zien:

CyberFundamentals

Zet vandaag de stap naar NIS2-conformiteit met Brand Compliance

Bescherm uw organisatie tegen cyberdreigingen en voldoe aan de wettelijke verplichtingen van de NIS2-wet door te kiezen voor een CyberFundamentals verificatie/certificering. Brand Compliance is als onafhankelijke certificerende instelling uw betrouwbare partner in dit traject. Neem vandaag nog contact met ons op voor een vrijblijvend gesprek. 

Laten we kennismaken!