UPDATE: NIS wordt eind 2024 vervangen door NIS2.
De Europese richtlijn nr. 2016/1148 van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (afgekort NIS Richtlijn). Deze richtlijn diende tegen 9 mei 2018 omgezet te worden in Belgisch recht, hetgeen gebeurde middels de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (afgekort: NIS wet). Deze wet moet samen gelezen worden met het koninklijk besluit van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid, en van de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren (afgekort: het NIS KB).
De NIS regelgeving wil een antwoord bieden aan cyberbedreigingen en ondernemingen via juridische weg bewust maken van een betere cybersecurity. De wet legt aan heel wat Belgische ondernemingen informatieverplichtingen op, zoals het nemen van preventieve (informatie) veiligheidsmaatregelen en het melden van incidenten. Daarnaast wordt ook een overheidstoezicht geïntroduceerd en een mechanisme voor samenwerking in cyberbeveiliging.
Hieronder geven wij u een overzicht van de NIS regelgeving.
Op welke ondernemingen is de NIS wet van toepassing?
De NIS- wet is van toepassing op : (1) aanbieders van essentiële diensten en (2) digitaledienstverleners.
1. Aanbieders van essentiële diensten
De NIS-wet is enkel van toepassing op ondernemingen die essentiële diensten aanbieden in België. Dit is het geval wanneer de onderneming zijn vestiging heeft in België of – bij gebreke hieraan – een essentiële dienst aanbiedt op het Belgisch grondgebied.
De NIS-wet viseert enkel aanbieders van essentiële diensten in de volgende sectoren: [i] energie (elektriciteit, olie en gas), [ii] transport (lucht, spoor, water en weg), [iii] financiering (financiële instellingen en financiële handelsplatformen), [iv] gezondheidszorg (zorginstellingen zoals ziekenhuizen en zorgaanbieders), [v] drinkwater en [vi] digitale infrastructuren.
Niet alle ondernemingen binnen deze sectoren vallen onder de NIS-wet. Het gaat om ondernemingen die essentieel zijn voor het handhaven van kritieke maatschappelijke en/of economische activiteiten, een netwerk- en informatiesystemen gebruiken, en een significant verstorend effect zou hebben wanneer er zich een incident voordoet.
Een dergelijke incident betreft een een gebeurtenis die een effectieve negatieve impact heeft op de beveiliging van het netwerk en informatiesystemen van de onderneming (denk aan netwerken, servers, harde schijven, eindapparatuur, routers, firewalls, sensoren, software en data).
Belangrijk hierbij is dat een onderneming enkel beschouwd wordt als een aanbieder van essentiële diensten wanneer de sectorale autoriteit de onderneming formeel heeft aangewezen. Het is diezelfde autoriteit die ook zal bepalen of een incident een significant verstorend effect heeft op de onderneming.
2. Digitale dienstverleners
De NIS-wet is eveneens van toepassing op digitale dienstverleners die hun hoofdkantoor in België hebben, of bij gebreke hieraan, digitale diensten in België aanbieden en een vertegenwoordiger in België hebben aangeduid.
Het gaat hierbij enkel om aanbieders van digitale diensten die een dienst van de informatiemaatschappij aanbieden, zijnde [i] een online marktplaats, [ii] een online zoekmachine; of [iii]een cloudcomputerdienst.
Een online marktplaats is een digitale dienst die het consumenten en/of ondernemingen mogelijk maakt online verkoop- of dienstenovereenkomst met ondernemingen te sluiten op de website van de onlinemarktplaats of op de website van een onderneming die gebruikmaakt van door de onlinemarktplaats aangeboden informaticadiensten.
Een cloudcomputerdienst is een digitale dienst die toegang mogelijk maakt tot een schaalbare en elastische pool van deelbare computercapaciteit. Het gaat hierbij niet enkel om Infrastructure-as-a-Service (IaaS) aanbieders, maar ook Software-as-a-Service (SaaS) aanbieders.
In tegenstelling tot aanbieders van essentiële diensten is geen aanduiding van een (sectoriale) autoriteit noodzakelijk.
Welke verplichtingen legt de NIS wet op?
Passende en technische organisatorische maatregelen
Aanbieders van essentiële diensten dienen een contactpunt aan te stellen voor de beveiliging van hun netwerk- en informatiesystemen. Deze contactgegevens worden binnen de 3 maanden na aanwijzing als essentiële dienstaanbieder overgemaakt aan de sectoriale autoriteit.
Vervolgens dienen deze aanbieders de mogelijke risico’s voor de beveiliging van hun netwerk- en informatiesystemen in kaart brengen. Het betreft risico’s die betrekking hebben op elke vorm van activiteit die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van de opgeslagen, verzonden of verwerkte gegevens of de daaraan gerelateerde diensten die via die netwerk- en informatiesystemen worden aangeboden of toegankelijk zijn, in gevaar kunnen brengen.
Tot slot dienen dergelijke aanbieders maatregelen implementeren (en deze ook testen) die nodig zijn om de risico’s voor hun systemen te beperken. Deze maatregelen moeten conform de stand van de technische kennis zijn en dienen geïntegreerd te worden in het beveiligingsbeleid van de onderneming. Dit beveiligingsbeleid moet overigens binnen 12 maanden na de aanstelling als essentiële dienstenaanbieder worden opgesteld en binnen 24 maanden worden geïmplementeerd.
De sectorale autoriteiten kunnen ook praktische richtsnoeren uitvaardigen over mogelijke risico’s en maatregelen die aanbieders van essentiële diensten moeten nemen.
Ook digitale dienstverleners dienen een contactpunt voor hun computersystemen aanwijzen en de sectoriale autoriteit hiervan in kennis stellen. Ook zij moeten passende en technische en organisatorische beveiligingsmaatregelen nemen.
Belangrijk hierbij is dat deze verplichting niet geldt voor micro- of kleine onderneming.
De Europese Commissie heeft in een uitvoeringsverordening gedetailleerdere richtsnoeren verstrekt over de manier waarop aanbieders van digitale diensten risico’s kunnen vaststellen en maatregelen kunnen nemen.
Melden van incidenten
Aanbieders van essentiële diensten en digitaledienstverleners zijn verplicht om incidenten te melden.
Aanbieders van essentiële diensten moeten incidenten melden wanneer deze een aanzienlijke invloed hebben op de beschikbaarheid, vertrouwelijkheid, integriteit of authenticiteit van netwerk- en informatiesystemen waarvan de essentiële diensten afhankelijk zijn. Deze incidenten moeten worden gemeld aan het Cybersecurity Centre for Belgium (CCB) en de bevoegde (sectorale) overheid.
Aanbieders van digitale diensten dienen incidenten te melden voor zover bepaalde drempels overschreden zijn die meebrengen of een incident aanzienlijke gevolgen heeft, vastgelegd in de uitvoeringsverordening. Deze verplichting geldt niet voor micro- en kleine ondernemingen.
Deze incidenten moeten worden gemeld aan het Cybersecurity Centre for Belgium (CCB) via een elektronisch platform.
Aanstelling functionaris van de gegevensbescherming (DPO)
De NIS-wet vereist dat alle aanbieders van essentiële diensten en digitale diensten een functionaris voor gegevensbescherming (DPO) aanwijzen. Dit is een verruiming van het aantal verwerkingsverantwoordelijken die door artikel 37 AVG worden aangewezen.