NIS2 Griekenland: wat betekent het voor uw organisatie?

NIS2 Greece

De oorspronkelijke NIS1-Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 werd ingevoerd om de cyberveiligheid binnen de EU te versterken. Omwille van de toenemende dreiging van cyberaanvallen werd deze richtlijn vervangen door de NIS2-Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 die strengere eisen oplegt en een breder toepassingsgebied hanteert om de weerbaarheid van kritieke infrastructuren tegen cyberaanvallen te vergroten.

De NIS2-richtlijn werd omgezet in Grieks recht via de cybersecuritywet 5160/2024, die gepubliceerd is in het Staatsblad op 27 november 2024 en sinds 28 november 2024 van kracht is. Naast de primaire cybersecuritywet, bestaat er secundaire wetgeving zoals het ministerieel besluit 1645/2025 inzake de registratie van entiteiten van 15 april 2025 en het ministerieel besluit 1689/2025 inzake cyberbeveiligingsvereisten van 6 mei 2025.

Op deze pagina vindt u alles wat u moet weten over de impact van NIS2 op uw organisatie en hoe u zich kunt voorbereiden op de nieuwe regelgeving.

NIS2 entiteiten

De Griekse cybersecuritywet is relevant voor zowel rechtspersonen als natuurlijke personen, samen aangeduid als ‘entiteiten’, die in Griekenland geregistreerd zijn en die producten en/of diensten leveren in een EU-land. De Griekse cybersecuritywet neemt het toepassingsgebied van de NIS2-richtlijn over.

De cybersecuritywet bepaalt expliciet welke publieke en private entiteiten onder de cyberbeveiligingsverplichtingen vallen. Hiervoor wordt een onderscheid gemaakt tussen essentiële entiteiten en belangrijke entiteiten. Voor het categoriseren van entiteiten wordt rekening gehouden met de aangeboden diensten, de omvang van de entiteit en de vestiging van de entiteit.

In principe valt uw entiteit onder de Griekse cybersecuritywet wanneer:

  • Uw organisatie diensten levert binnen een sector die is opgenomen in bijlage I en bijlage II van de cybersecuritywet; 
  • Uw organisatie de drempelwaarden voor middelgrote ondernemingen overschrijdt; en
  • Uw organisatie in Griekenland gevestigd is (m.u.v. aanbieders van openbare elektronische communicatienetwerken en aanbieders van openbaar elektronische communicatiediensten. Deze vallen onder de Griekse cybersecuritywet indien zij diensten op het Grieks grondgebied leveren.)

Criteria 1: geleverde diensten

In bijlage I en II van de Griekse cybersecuritywet worden de sectoren beschreven die vallen binnen het toepassingsgebied ervan. Het is dan ook van groot belang om uw geleverde diensten aan derden grondig te analyseren per (sub)sector.

Bijlage I: Zeer kritieke sectorenBijlage II: Andere kritieke sectoren

Energie

  • Elektriciteit
  • Stadsverwarming en -koeling
  • Aardolie
  • Aardgas
  • Waterstof
Post- en koeriersdiensten

Vervoer

  • Lucht
  • Spoor
  • Water
  • Weg
Afvalbeheer
BankwezenVervaardiging, productie en distributie van chemische stoffen
Infrastructuur voor de financiële marktProductie, verwerking en distributie van levensmiddelen

Gezondheidszorg

Vervaardiging

  • Vervaardiging van medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek
  • Vervaardiging van elektrische apparatuur
  • Vervaardiging van machines, apparaten en werktuigen, n.e.g.
  • Vervaardiging van motovoertuigen, aanhangers en opleggers
  • Vervaardiging van andere transportmiddelen

Drinkwater

Digitale aanbieders

Afvalwater

Onderzoek

Digitale infrastructuur

 

Beheer van ICT-diensten (business-to-business)

 

Overheid

 
Ruimtevaart 

Indien uw organisatie een dienst uit bovenstaand overzicht levert, valt uw organisatie mogelijks binnen het toepassingsgebied van de cybersecuritywet.

Criteria 2: bedrijfsgrootte

Naast de geleverde diensten, is ook de grootte van de entiteit van belang om na te gaan of uw organisatie binnen het toepassingsgebied van de Griekse cybersecuritywet valt. Klik hier om te bepalen of uw organisatie een kleine, middelgrote, dan wel grote onderneming betreft. In principe dienen middelgrote en grote ondernemingen te voldoen aan de verplichten uit de cybersecuritywet.

Daarnaast is de wet ook van toepassing op volgende specifieke aanbieders, onafhankelijk van de omvang van de entiteit. Het gaat om:

  • Aanbieders van openbare elektronische communicatienetwerken of -diensten
  • Centrale overheidsinstanties
  • Aanbieders van vertrouwensdiensten
  • Beheerders van domeinnaamregisters
  • DNS-providers

Bovendien geldt de wet ook voor entiteiten, ongeacht hun omvang, indien hun activiteiten cruciaal zijn voor de samenleving of economie. Dat is het geval als:

  • Zij diensten leveren die essentieel zijn voor kritieke maatschappelijke of economische functies en die niet door andere aanbieders geleverd worden
  • Een verstoring van hun dienstverlening aanzienlijke impact zou hebben op de openbare orde, veiligheid of volksgezondheid
  • Een incident bij hen systeemrisico’s met grensoverschrijdende gevolgen zou kunnen veroorzaken
  • Zij van strategisch of vitaal belang zijn op nationaal of regionaal niveau, bijvoorbeeld vanwege afhankelijkheden in andere sectoren

Criteria 3: gevestigde entiteit in Griekenland

In principe kan de Griekse cybersecuritywet enkel van toepassing zijn op entiteiten met een vestiging in Griekenland. Echter zijn bij wijze van uitzondering volgende entiteiten onderworpen aan de Griekse cybersecuritywet:

  • Aanbieders van openbare elektronische communicatienetwerken of aanbieders van openbare elektronische-communicatiediensten die hun diensten in Griekenland aanbieden;
  • DNS-dienstverleners, registers voor topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten leveren, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, evenals aanbieders van onlinemarktplaatsen, onlinezoekmachines of platforms voor socialenetwerkdiensten, als zij hun hoofdvestiging in Griekenland hebben of als ze hun wettelijke vertegenwoordiger voor de EU in Griekenland hebben in het geval zij geen vestiging hebben binnen de EU;
  • Overheidsinstanties die door Griekenland opgericht zijn.

Naast de 3 bovenstaande criteria dient bij het analyseren van het toepassingsgebied van de cybersecuritywet rekening gehouden te worden met het feit dat men als niet-NIS2-organisatie alsnog geaffecteerd kan worden door de cybersecuritywet doordat de nationale autoriteit de entiteit aanmerkt als essentiële of belangrijke entiteit of doordat de niet-NIS2-organisatie behoort tot de toeleveringsketen van een NIS2-organisatie.

Bepaal of uw organisatie binnen het toepassingsgebied van de Griekse cybersecuritywet valt met behulp van de scope test.

Wat betekent dit voor mijn bedrijf?

1. Registratie

De toezichthoudende autoriteit dient een lijst bij te houden van de essentiële en belangrijke entiteiten onder haar bevoegdheid. Essentiële en belangrijke entiteiten dienen zich te registreren bij de toezichthoudende autoriteit door volgende gegevens van de entiteit door te sturen naar register.ncsa@cyber.gov.gr:

  • Naam van de entiteit
  • Sector en subsector (zie bijlage I en II van de Cyber securitywet)
  • Adres van de hoofdvestiging en andere wettelijke vestigingen in de EU of, indien zij daar niet gevestigd is, het adres van haar vertegenwoordiger
  • E-mailadressen, telefoonnummers en andere contactgegevens
  • Lijst van lidstaten van de EU waar de entiteit diensten verleent
  • IP-adresbereik

Wijzigingen in bovenstaande gegevens dienen onmiddellijk en binnen de 3 maanden na de wijziging gemeld worden.

De registratie van uw entiteit dient uiterlijk te gebeuren op 30 mei 2025.

2. Beheersmaatregelen

Als uw organisatie gecategoriseerd is als essentiële of belangrijke entiteit, betekent dit dat u verantwoordelijk bent voor het implementeren van passende technische en organisatorische maatregelen om de beveiliging van uw netwerk- en informatiesystemen te waarborgen. Deze cybersecurity beheersmaatregelen betreffen minstens:

  • Beleid voor risicoanalyse en beveiliging van communicatienetwerken en informatiesystemen
  • Incidentenbeheer
  • Bedrijfscontinuïteit en crisisbeheer en indien nodig, het gebruik van beveiligde back-upsystemen
  • Beveiliging van toeleveringsketen
  • Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden
  • Beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico’s te beoordelen
  • Beveiligingsaspecten ten aanzien van cyberhygiëne en cyberbeveiligingstraining
  • Beleid en procedures over het cryptografie en in voorkomend geval encryptie
  • Personeelsbeveiliging, toegangscontrolebeleid en activabeheer
  • Gebruik van multifactorauthenticatie of continue authenticatieoplossingen, beveiligde spraak-, video- en tekstcommunicatie en beveiligde noodcommunicatiesystemen binnen de entiteit, indien van toepassing.

De Europese commissie heeft in de uitvoeringsverordening 2024/2690 de bovenstaande minimummaatregelen voor cyberbeveiliging uitgewerkt voor DNS -dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten.

Meer informatie omtrent beheersmaatregelen kan u hier vinden

3. Rapportageverplichting van significante incidenten

Belangrijke en essentiële entiteiten zijn verplicht het CSIRT en de nationale cybersecurityautoriteit in kennis te stellen wanneer zich een significant incident voordoet. Daarnaast dienen zij ook de ontvangers van hun diensten op de hoogte te brengen indien het significant incident de verlening van de diensten betreffende de (sub)sectoren van bijlage I en II affecteert.  

Een incident wordt als significant beschouwd, wanneer

  • Het incident heeft geleid of kan leiden tot ernstige verstoring van de dienstverlening of financiële verliezen voor de getroffen entiteit of
  • Het incident andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door het veroorzaken van aanzienlijke fysieke of immateriële schade.

Het significante incident wordt door de essentiële en belangrijke entiteit gemeld via een online formulier volgens volgende procedure: 

  1. onmiddellijk en binnen de 24 uur nadat zij kennis heeft gekregen van het significante incident, dient de entiteit  een vroegtijdige waarschuwing in, met melding van vermoedelijke oorzaak en eventuele grensoverschrijdende gevolgen; 
  2. onmiddellijk en binnen de 72 uur nadat zij kennis heeft gekregen van het significante incident, communiceert de entiteit een incidentenmelding dat een informatie update bevat en een initiële beoordeling van het incident; 
  3. op verzoek van het bevoegde CSIRT dient de entiteit een tussentijds verslag in; 
  4. Uiterlijk 1 maand na de incidentenmelding dient de entiteit een eindverslag in met vermelding van: 
    • Een gedetailleerde beschrijving van het incident, alsook de ernst en de gevolgen ervan; 
    • Het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid; 
    • Toegepaste en lopende risicobeperkende maatregelen; 
    • De grensoverschrijdende gevolgen van het incident, indien van toepassing. 
  5. Indien het incident nog lopende is een maand na de incidentenmelding, dient de entiteit een voorgangsverslag in en binnen de maand na de afhandeling van incident wordt een eindverslag ingediend. 

De Europese commissie heeft in de uitvoeringsverordening 2024/2690 de criteria voor een significant incident bepaald voor DNS -dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor sociale netwerkdiensten, en verleners van vertrouwensdiensten. Deze bijzondere regels hebben voorrang op de nationale regels in het geval van tegenstrijdigheden. 

Tot slot kunnen alle entiteiten, ongeacht  of zij vallen binnen het toepassingsgebied van de Cyber securitywet vrijwillig (significante) incidenten, cyberdreigingen en bijna-incidenten melden via de e-service.  

Meer informatie omtrent incident meldingen kan u hier vinden.

4. Verplichtingen en verantwoordelijkheden van het management

De bestuursorganen van essentiële en belangrijke entiteiten zijn verantwoordelijk voor de naleving van de cybersecuritywet en dienen verschillende verplichtingen na te komen waaronder:

  • Goedkeuren van de beheersmaatregelen voor cyberbeveiliging en toezicht houden op de naleving ervan
  • Volgen van training om over voldoende kennis en vaardigheden te beschikken om risico’s te kunnen identificeren en beheersmaatregelen en de impact ervan op hun diensten te kunnen beoordelen
  • Voortdurend bijscholen van de werknemers van de cybersecurityentiteit op het gebied van cybersecurity, minstens jaarlijks

De bestuursorganen zijn aansprakelijk bij niet-naleving van de cybersecuritywet.

5. Samenwerken met autoriteiten

Essentiële en belangrijke entiteiten dienen samen te werken met de nationale autoriteiten. Betreft het uitwisselen van informatie over de beveiliging van netwerk- en informatiesystemen, rapporteren van incidenten, samenwerking met de inspectiedienst enzovoort.

Hoe kan ik aantonen dat mijn bedrijf in regel is met de NIS2 wetgeving?

Zoals aangegeven in het hoofdstuk ‘Sancties’ voeren de bevoegde autoriteiten inspecties uit bij de essentiële en belangrijke entiteiten op de naleving van de cybersecuritywet.

De entiteiten worden gecontroleerd op de naleving van de Griekse cybersecuritywet. Hiervoor dient gebruik gemaakt te worden van Europese en internationale normen met betrekking tot de beveiliging van netwerk- en informatiesystemen. De cybersecurity wet specificeert hierbij niet welke normenkaders deze aanvaardt.

Een belangrijke internationale standaard die hiervoor gehanteerd kan worden is ISO/IEC 27001. Als entiteit kan u een onafhankelijke audit laten uitvoeren door een geaccrediteerde CAB. Op basis van deze onafhankelijke conformiteitsbeoordeling kan de entiteit een  certificaat behalen, waarmee de naleving van de cybersecuritywet kan worden aangetoond aan de stakeholders.

Indien u meer informatie wenst omtrent certificering, kan u hier een afspraken met een expert maken.

Handhaving en sancties

De nationale cybersecurityautoriteit voert inspecties uit op de naleving door cybersecurityentiteiten van de vereisten zoals bepaald in de cybersecuritywet. Hiervoor moet een onderscheid gemaakt worden tussen essentiële en belangrijke entiteiten:

  • Essentiële entiteiten worden zowel proactief (ex-ante) als reactief (ex-post) gecontroleerd, en zijn verplicht regelmatige conformiteitsbeoordelingen te laten uitvoeren.
  • Belangrijke entiteiten worden in principe enkel reactief gecontroleerd, na een incident of bij een vermoeden van niet-naleving van de wet.

De Griekse cybersecuritywet voorziet in specifieke sancties voor entiteiten die de wettelijke bepalingen niet naleven. Deze sancties variëren naargelang de aard en de ernst van de overtreding en zijn onderverdeeld in administratieve maatregelen en administratieve boetes.

Mogelijke administratieve maatregelen die kunnen opgelegd worden zijn onder andere waarschuwingen geven, de uitvoering van leidinggevende functies tijdelijk verbieden, de entiteit verplichten bepaalde maatregelen te treffen enzovoort.

Administratieve boetes die kunnen worden opgelegd zijn eveneens wettelijk vastgelegd en kunnen oplopen tot

  • tot 10.000.000 euro of 2% van de totale wereldwijde jaaromzet van de essentiële entiteit en
  • tot 7.000.000 euro of 1,4% van de totale wereldwijde jaaromzet van de belangrijke entiteit

Daarnaast legt de Griekse cybersecuritywet extra boetes op voor inbreuken op bepaalde leden van artikel 24 en 25, van respectievelijk hoogstens 1.000.000 euro en 700.000 euro. Tot slot kunnen ook bijkomende administratieve boetes tussen de 20.000 en 500.000 euro opgelegd worden aan de entiteiten voor overtredingen die in artikel 26 paragraaf 9 worden geformuleerd.

Tijdlijn

  • 17 oktober 2024: initiële deadline voor EU-lidstaten om NIS2-richtlijn om te zetten in nationale wetgeving
  • 28 november 2024: Griekse Cyber securitywet treedt in werking
  • 28 februari 2025: Goedkeuring risicobeheersmaatregelen door het bestuur
  • 30 mei 2025: entiteit dient zich te registreren bij de bevoegde autoriteit

Bevoegde autoriteiten

In het kader van de implementatie van de NIS2-richtlijn in Griekenland zijn verschillende bevoegde autoriteiten aangewezen om de nationale cybersecuritywet uit te voeren en te handhaven.

Het Ministerie van Digitaal Bestuur heeft de centrale coördinatie- en beleidsrol voor cybersecurity. Dit ministerie is verantwoordelijk voor de ontwikkeling van de nationale strategie en voor de algemene supervisie van de wet.

Onder het Ministerie van Digitaal Bestuur, valt de Nationale Cybersecurity Autoriteit (NCSA), de officiële toezichthoudende en regelgevende instantie voor cybersecurity in Griekenland. De NCSA houdt toezicht op de toepassing van de wet, voert inspecties uit, legt sancties op bij niet-naleving en is belast met de beoordeling van de beveiligingsmaatregelen van essentiële en belangrijke entiteiten.

Ook de Griekse Autoriteit voor Bescherming van Persoonsgegevens (DPA) speelt een rol wanneer cybersecurity-incidenten betrekking hebben op persoonsgegevens, zodat coördinatie met de Europese AVG (GDPR) wordt gewaarborgd.

De wet voorziet bovendien in samenwerking tussen de verschillende bevoegde instanties, zowel nationaal als internationaal.