Begrijp uw verplichtingen, bereid voor op conformiteitsbeoordeling, en bouw een verdedigbaar cybersecurity programma.
De Network and Information Security Directive (NIS2) is de bijgewerkte cybersecurity regelgeving van de EU die van toepassing is op essentiële en belangrijke entiteiten in kritieke sectoren. In België is het Centrum voor Cybersecurity België (CCB) de toezichthoudende autoriteit.
Van toepassing op: Energie, transport, bankwezen, gezondheidszorg, digitale infrastructuur, openbaar bestuur, en meer.
De Digital Operational Resilience Act (DORA) is een EU-verordening specifiek voor de financiële sector, die ICT-risicobeheer, incident reporting, third-party risico, en veerkrachtheidstesten behandelt.
Van toepassing op: Banken, verzekeringsmaatschappijen, beleggingsondernemingen, betalingsinstellingen, en hun kritieke ICT-leveranciers.
NIS2 is van toepassing op essentiële entiteiten (hogere kritikaliteit) en belangrijke entiteiten (matige kritikaliteit) in 18 sectoren. Grootte drempels zijn van toepassing in sommige sectoren:
DORA is van toepassing op alle Belgische financiële instellingen gereguleerd door de NBB (Nationale Bank van België) of FSMA, ongeacht grootte:
Implementeer passende technische en organisatorische maatregelen om cybersecurity risico te beheren, evenredig aan uw kritikaliteit.
Meld significante incidenten aan het CCB (NIS2) of NBB/FSMA (DORA) binnen strikte tijdslijnen (24 uur initiële melding).
Onderhoud backup systemen, disaster recovery plannen, en crisismanagement procedures.
Beoordeel en beheer cybersecurity risico's van leveranciers en dienstverleners.
Regelmatige vulnerability scanning, patch management, en penetratietesten.
NIS2 vereist expliciet cybersecurity training voor directies (Artikel 20).
In België is het Centrum voor Cybersecurity België (CCB) de NIS2 toezichthoudende autoriteit. Het CCB heeft het CyberFundamentals framework ontwikkeld als gestructureerde aanpak voor NIS2 conformiteit.
Belgische NIS2 entiteiten kunnen conformiteit aantonen via:
EU-lidstaten moeten NIS2 omzetten in nationale wetgeving (België in uitvoering).
DORA werd van toepassing op alle financiële entiteiten binnen scope.
Belgische entiteiten moeten zich registreren bij het CCB en conformiteitsactiviteiten beginnen (exacte tijdslijnen TBD in Belgische wetgeving).
Opmerking: Ook als de Belgische nationale wetgeving nog wordt afgerond, moeten entiteiten nu beginnen met voorbereiding. Toezichtsaudits en handhaving volgen snel na transpositie.
Ook als u niet direct binnen de scope valt van NIS2 of DORA, moet u mogelijk toch voldoen.
Veel Belgische KMO's ontdekken NIS2/DORA verplichtingen niet via directe regelgevende scope, maar omdat hun klanten (banken, verzekeraars, telecom providers, energiebedrijven) gelijkwaardige beveiligingsstandaarden van hun leveranciers vereisen.
U bent een 30-persoons softwarebedrijf dat een klantportaal levert aan een Belgische bank. Onder DORA moet de bank ervoor zorgen dat u voldoet aan ICT-risicobeheerstandaarden. U wordt contractueel verplicht om security controls aan te tonen.
U levert IT-ondersteuning aan een ziekenhuis (NIS2 essentiële entiteit). Het ziekenhuis moet uw cybersecurity posture beoordelen als deel van hun supply chain risicobeheer. Verwacht security vragenlijsten en mogelijke audits.
Safepoint diensten zijn direct afgestemd op NIS2 en DORA vereisten:
We beoordelen uw huidige toestand tegenover NIS2/DORA/CyberFundamentals vereisten en bouwen een geprioriteerde compliance roadmap.
Meer info →Regelmatige pentesting is een NIS2/DORA vereiste. Ons OSCP/OSCE gecertificeerd team levert auditklare rapporten.
Meer info →ISO 27001 certificering is een erkend conformiteitspad. We helpen u bij implementatie en certificering.
Meer info →NIS2 Artikel 20 vereist cybersecurity training voor directies. We leveren board-ready programma's.
Meer info →