Op 18 oktober 2024 trad de NIS2-wet in werking. Deze wetgeving is de omzetting van een Europese richtlijn met als doel een gezamenlijk hoog niveau van cyberbeveiliging in de EU te bereiken. Ze beoogt de bescherming van burgers en overheid tegen cyberdreigingen met focus op een aantal kritieke sociale en economische activiteiten. Deze bescherming wil men bereiken door enerzijds de samenwerking en het toezicht te versterken. Anderzijds worden er specifieke verplichtingen opgelegd aan entiteiten die in een van de kritieke sectoren actief zijn. Als onderneming kijkt u best na of deze wetgeving ook op u van toepassing is en welke maatregelen u in voorkomend geval dient te nemen. In dit blogbericht wordt een beknopt overzicht gegeven van de draagwijdte van deze nieuwe wetgeving.

Wat?

De Belgische NIS2-wet heet voluit: Wet tot vaststelling van een kader voor de cyberbeveiliging van de netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid. Het betreft de omzetting van een Europese richtlijn, middels welke de EU wil komen tot een gezamenlijk hoog niveau van cyberbeveiliging in Europa.

De voornaamste doelstelling is het in stand houden van kritieke sociale en economische activiteiten en de bevolking beschermen tegen cyberdreigingen.

Dit wil men o.a. bereiken door het versterken van het toezicht, door private en publieke entiteiten een aantal bijkomende verplichtingen op te leggen, informatie-uitwisseling en een gestroomlijnd kader te creëren omtrent hoe men moet handelen in geval van een incident.

Wie?

Niet elke onderneming zal maatregelen moeten nemen om in regel te zijn met NIS2.

De wetgeving is enerzijds gericht op ondernemingen van een zekere omvang (grote en middelgrote ondernemingen) die actief zijn in een van de kritieke sectoren die de wetgever opsomt. Kritieke sectoren zijn o.a. de energie- en vervoersector, financiële sector, gezondheidszorg, chemie, post- en koeriersdiensten, afvalstoffenbeheer, etc.

Daarnaast gaat het om entiteiten (ongeacht hun omvang) die een cruciale functie vervullen in onze maatschappij. Dit gaat dan bijvoorbeeld over overheidsinstanties, aanbieders van openbare elektronische communicatienetwerken, verleners van vertrouwensdiensten, entiteiten die domeinnaamregistratiediensten verlenen, etc.

De wetgever deelt de entiteiten die onder NIS2 vallen, vervolgens in 2 categorieën in: essentiële entiteiten en belangrijke entiteiten. Het onderscheid is van belang omdat er andere toezichts- en handhavingsregelingen van toepassing zijn.

Waar?

De wetgeving is van toepassing op entiteiten die gevestigd zijn in België en die hun diensten verlenen of hun activiteiten verrichten in de Europese Unie. Gezien de wetgeving de omzetting is van een Europese richtlijn, zullen bedrijven die gevestigd zijn elders in Europa zich ook geconfronteerd zien met een gelijkaardig regelgevend kader.

Wanneer?

De wetgeving trad in werking op 18 oktober 2024.

Hoe?

De wetgeving legt een aantal verplichtingen op aan ondernemingen die binnen het toepassingsgebied van de NIS2-wet vallen. Dit betreft o.a. de volgende maatregelen.

Registratie

Alle belangrijke en essentiële entiteiten dienen zich te laten registreren bij de nationale cyberbeveiligingsautoriteit binnen de 5 maanden na de inwerkingtreding van de wet.

Een aantal entiteiten moeten reeds bepaalde informatie verstrekken aan de autoriteiten binnen de 2 maanden na inwerkingtreding. Dit betreft o.a. entiteiten die domeinnaamregistratiediensten verlenen, aanbieders van cloudcomputingdiensten en aanbieders van onlinemarktplaatsen.

Risico-analyse en passende maatregelen

Elke essentiële en belangrijke entiteit dient een risico-analyse uit te voeren en op basis daarvan een I.B.B. uit te werken. I.B.B. staat voor beveiligingsbeleid voor de netwerk- en informatiesystemen. Ondernemingen moeten met andere woorden hun beleid inzake de beveiliging van hun systemen in een formeel document uitschrijven. De wetgeving bepaalt welke informatie er minstens moet zijn opgenomen in dit document. Er moeten passende en evenredige technische, operationele en organisatorische maatregelen worden genomen om beveiligingsrisico’s te beheren en zijn netwerk- en informatiesystemen  te beveiligen (preventief – reactief).

Verplichtingen voor bestuursorganen

De wetgeving legt persoonlijke verantwoordelijkheid bij de bestuursorganen van essentiële en belangrijke entiteiten. Zij moeten erop toezien dat de entiteit de nodige maatregelen neemt voor het beheer van cyberbeveiligingsrisico’s, alsook moeten zij toezien op de uitvoering ervan.

Daarnaast bepaalt de wet dat de leden van de bestuursorganen een opleiding moeten volgen zodat zij over voldoende kennis en vaardigheden beschikken om cyberbeveiligingsrisico’s te identificeren en om het beleid inzake risicobeheersing te kunnen beoordelen.

Melding van incidenten

Indien er zich een significant incident voordoet, dienen de getroffen ondernemingen dit onverwijld te melden aan de bevoegde autoriteiten. De NIS2-wet bepaalt de verschillende te ondernemen stappen en de termijn waarbinnen dit alles dient te gebeuren.

Conformiteitsbeoordeling

Essentiële entiteiten dienen zich te onderwerpen aan een regelmatige conformiteitsbeoordeling. Belangrijke entiteiten zijn daartoe niet verplicht, maar kunnen daar voor opteren. Een positieve beoordeling levert immers het voordeel op dat zij geacht worden te voldoen aan de door de wetgeving gestelde verplichtingen.

Entiteiten hebben de keuze uit 3 opties:

• Ofwel onderwerpen zij zich aan een inspectie door de inspectiedienst van het Centrum voor Cybersecurity Belgium (CCB) (of door een sectorale inspectiedienst).
• Ofwel opteren zij voor een ISO/IEC 27001-certificatie, afgeleverd door een geaccrediteerde beoordelingsinstantie.
• Ofwel opteren zij voor een CyberFundamentals-certificering, afgeleverd door een beoordelingsinstantie die erkend is door het Centrum voor Cybersecurity Belgium (CCB).

Valt u als onderneming binnen het toepassingsgebied van de NIS2-wet? Of wilt u dit verder onderzoeken? Kunt u juridische hulp gebruiken? Aarzel dan niet om contact met mij op te nemen.