Vanaf oktober 2024 moeten bedrijven in tal van sectoren strikte beveiligingsprincipes naleven en maatregelen rond risicobeheer invoeren. Dit vloeit voort uit de Europese NIS2-richtlijn. NIS staat voor Network and Information Security Directive. De impact hiervan wordt groot, want ook bedrijven die samenwerken met bedrijven die onder de NIS2-richtlijn vallen, zullen gelijkaardige maatregelen moeten nemen.
De Europese NIS2-richtlijn wordt vanaf oktober 2024 nationale wetgeving in België en verplicht meer ondernemingen om zich beter te beveiligen tegen cyberaanvallen. In essentie beoogt deze NIS2-richtlijn dezelfde drie doelen als haar voorganger (NIS1). De grootste vernieuwing is er voor bedrijven. NIS2 breidt het aantal entiteiten en sectoren in de scope enorm uit. Er zijn meer specificaties van maatregelen, uitgebreidere regels rond incidentmelding, hogere en meer specifieke sanctieregels en een sterke responsabilisering van het topmanagement van elk bedrijf, zodat cybersecurity top of mind kan worden.
Kort gezegd komt het er op neer dat een bedrijf onder de toepassing van NIS2 valt als het actief is in één van de (sub)sectoren en types diensten die opgelijst worden in de richtlijn én van een bepaalde grootte is. Het wegvervoer is nu ook opgenomen als zogenaamde essentiële sector. Daarbij gaat het echter vooral om beheerders van infrastructuur, zoals luchthavens, spoorwegen, wegen en havens. Wat vervoerders zelf betreft, vallen luchtvaartmaatschappijen, spoorwegmaatschappijen en scheepseigenaren als ‘essentieel bedrijf’ onder de NIS2.
Wegvervoerders horen in verreweg de meeste gevallen niet tot ‘Essentiele’ of ‘Belangrijke’ bedrijven uit de NIS2. Toch zal de richtlijn een brede impact hebben. Ook ondernemingen die niet onder NIS2 vallen, zullen gevolgen ervaren. Specifieke bedrijven in onze sector kunnen er toch onder vallen, namelijk in het transport van olie, post- en koeriersdiensten, afvalstoffenbeheer, distributie van levensmiddelen en distributie van chemicaliën.
Op specifieke uitzonderingen na zijn kleine en micro-ondernemingen met minder dan 50 werknemers en een jaaromzet of jaarlijks balanstotaal van minder dan 10 miljoen euro uitgesloten van het toepassingsgebied van de richtlijn. Toch valt het niet uit te sluiten dat wie in de toekomst wil samenwerken met een organisatie die onder de NIS2-richtlijn valt, toch een beveiliging zal moeten hebben die aan bijna dezelfde voorwaarden voldoet. TLV is hierover nog in gesprek met onder meer het Centrum voor Cybersecurity België om de precieze afbakening van de toepassing en de voorwaarden duidelijk te stellen. Maar NIS2 zal stilaan de norm worden voor meer en meer Vlaamse ondernemingen.