Vanaf 18 oktober 2024 gelden strengere maatregelen voor de beveiliging van netwerk- en informatiesystemen van entiteiten die essentiële diensten verlenen. Het betreft onder andere de de distributiesysteembeheerders van gas en elektriciteit, de beheerders van havens, de wegenautoriteiten, de leveranciers en distributeurs van drinkwater en de zorgaanbieders. Met de wijzigingen schikt ons land zich naar de vereisten van de Cybersecurityrichtlijn ‘NIS2’ (Richtlijn 2022/2555).
Van NIS1 naar NIS2
Op 18 oktober 2024 treedt de zogenaamde NIS2-wet in werking. Daarmee versterkt ons land de cyberbeveiligingsmaatregelen, het incidentenbeheer en het toezicht op entiteiten die diensten leveren die essentieel zijn voor het in stand houden van kritieke maatschappelijke of economische activiteiten. Daarnaast verbeter de wet ook de coördinatie van het overheidsbeleid op het gebied van cyberbeveiliging. De federale wetgever implementeert daarmee de bepalingen van de tweede Cybersecurityrichtlijn, NIS2
(Richtlijn 2022/2555).Deze richtlijn is de opvolger van de NIS1-richtlijn uit 2016
(Richtlijn 2016/1148) (omgezet door
de NIS1-wet van 7 april 2019). NIS1 was de eerste ‘Cybersecurityrichtlijn’ op Europees niveau. Ze verplicht de Europese lidstaten onder meer om nationale cyberbeveiligingsstrategieën te ontwikkelen en grensoverschrijdend samen te werken in strijd tegen cyberdreigingen en cyberincidenten. Op basis van de richtlijn hebben de lidstaten een aantal ‘aanbieders van essentiële diensten (AED’s)’ aangewezen die specifieke beveiligingsmaatregelen moeten nemen en onderworpen zijn aan een meldingsplicht wanneer er zich ernstige incidenten voordoen. Essentiele diensten zijn diensten die essentieel zijn voor het in stand houden van kritieke maatschappelijke of economische activiteiten. Denk daarbij aan de sectoren energie, vervoer, bankwezen, gezondheidszorg, drinkwater, digitale infrastructuur en infrastructuur van de financiële markten.
Sinds de inwerkingtreding van de NIS1 zijn de cyberdreigingen echter aanzienlijk toegenomen, net als onze digitale afhankelijkheid waardoor een aantal aanpassingen zich opdrongen. NIS2 zorgt daarom voor een uitbreiding en aanscherping van de regels. Het toepassingsgebied werd uitgebreid naar meer sectoren en entiteiten, de regels voor de identificatie van onderworpen entiteiten zijn verder geharmoniseerd (met aangepaste criteria), er zijn strengere veiligheidsvereisten, meer betrokken actoren, aangepaste sancties en versterkte toezichtsbevoegdheden, uitgebreide meldingsverplichtingen bij incidenten en een geïntensifieerde grensoverschrijdende samenwerking. Al deze elementen krijgen nu een plaats in ons nationaal recht via de NIS2-wet. De NIS1-wet wordt opgeheven.
Essentiële diensten
Het toepassingsgebied van de NIS2-richtlijn is veel ruimer dan NIS1. Een entiteit valt onder het toepassingsgebied van de richtlijn als het actief is in één van de (sub)sectoren en types diensten die opgelijst zijn in bijlage I (‘zeer kritieke sectoren’) of bijlage 2 (‘andere kritieke sectoren’) van de richtlijn én een bepaalde omvang heeft. Zo staat het ook in de wet. Voor ons land gaat het om alle publieke en private in België gevestigde organisaties die diensten verlenen (in de EU) of activiteiten uitvoeren die opgelijst zijn in de bijlagen bij de wet én een bepaalde grootte hebben (conform de criteria opgenomen in de wet). In sé gaat het om grote en middelgrote ondernemingen (meer dan 50 werknemers en meer dan 10miljoen euro jaarlijkse omzet). Let op! Er zijn uitzonderingen.
De zeer kritieke sectoren (bijlage 1) omvatten onder meer sectoren’, Bijlage 2 omvat de ‘andere kritieke sectoren’. Onder de essentiële diensten vallen onder meer energie, vervoer, gezondheid, digitale infrastructuur, informatie- en communicatietechnologiediensten, drinkwater, overheidsbestuur en ruimtevaart. De andere kritieke sectoren zijn onder meer de post- en koerierdiensten, het afvalstoffenbeheer en de vervaardiging, productie en distributie van chemische stoffen.
Het onderscheid tussen aanbieders van essentiële diensten (AED’s) en digitaledienstverleners ‘DDV’s is geschrapt. Voortaan is er een onderscheid tussen essentiële en belangrijke diensten. Dat wordt automatisch gemaakt op basis van de grootte van de entiteit en het type entiteit.
Beveiligingsmaatregelen
De entiteiten die onder het toepassingsgebied van de NIS2-wet vallen, zijn verplicht om ‘passende en evenredige’ maatregelen te nemen ter beveiliging van hun netwerk- en informatiesystemen, voor de preventie en het beheer van cyberdreigingen en incidenten én om de gevolgen van incidenten voor hun afnemers en voor andere diensten te beperken. Het gaat onder meer om risicobeheersmaatregelen en risicoanalyses, opleidingen m.b.t. cyberbeveiliging, beveiligingsplichten t.a.v. personeel, enz.
De betrokken entiteiten hebben ook een meldingsplicht bij ernstige en significante incidenten. De entiteit stuurt onverwijld een vroegtijdige waarschuwing uit, uiterlijk binnen 24 uur na kennis te hebben genomen van het significante incident. Vervolgens meldt de entiteit het incident onverwijld en uiterlijk binnen 72 uur na kennis te hebben genomen van het incident. De entiteit bezorgt een eindverslag binnen één maand na de definitieve afhandeling van het incident.
Naast de verplichte melding van ernstige en significante incidenten door de essentiële en belangrijke entiteiten is er de mogelijkheid tot vrijwillige melding. Het kan gaan om de melding van niet-significante incidenten en de melding van significante incidenten, cyberdreigingen of quasi-incidenten door entiteiten die niet aan de NIS2-wet zijn onderworpen.
Controles
Het is de taak van de inspectiedienst van de nationale cyberbeveiligingsautoriteit (het Centrum voor Cybersecurity België) om controles uit te voeren om na te gaan of essentiële en belangrijke entiteiten de gepaste maatregelen voor het beheer van cyberbeveiligingsrisico’s en de regels voor het melden van incidenten naleven.
Essentiële entiteiten moeten, als onderdeel van hun toezicht, zich regelmatig onderwerpen aan een conformiteitsbeoordeling. Belangrijke entiteiten kunnen zich ook onderwerpen aan een regelmatige conformiteitsbeoordeling, maar dit is voor hen niet verplicht. Belangrijke entiteiten zijn enkel onderworpen aan controle achteraf.
De wetgever duidt tot slot welke administratieve maatregelen en geldboetes de bevoegde toezichthoudende autoriteiten kunnen opleggen aan de essentiële of belangrijke entiteiten en welke procedure daaraan dient vooraf te gaan. Tot de mogelijke maatregelen behoren waarschuwingen, aanbevelingen, toezicht, bindende instructies, gerichte en ad-hocinspecties, bekendmakingsverplichtingen en administratieve geldboetes.
Registratieplicht
Alle entiteiten die onder de wet vallen moeten zich bij de CCB registreren en nauwkeurige informatie over hun activiteiten verstrekken.
In werking: 18 oktober 2024.
