Timelex
toonaangevend nichekantoor
Menu

24 uur, 72 uur, 1 maand: de melding van cyberincidenten onder NIS2

Author info
Bernd Fiten
Bernd Fiten
Wout Platteau
Wout Platteau
21/01/2025
Cybersecurity

1. De uitdagingen en tekortkomingen van NIS1 leidden tot NIS2 

De vorige richtlijn inzake netwerk- en informatiebeveiliging (NIS1) was een grote stap voorwaarts voor cyberbeveiliging in Europa. De NIS1-richtlijn had echter te kampen met uitdagingen zoals een wisselende implementatie in de lidstaten, een beperkte sectordekking en een inconsistente handhaving. Zie deze blog voor meer informatie over de tekortkomingen van NIS1. 

De tekortkomingen van NIS1 onderstreepten de behoefte aan een meer geharmoniseerde en robuuste aanpak van cyberbeveiliging. Daarom introduceerde de Europese wetgever in 2022 de NIS2-richtlijn, die een vervolg is op de tekortkomingen van NIS1. 

De NIS2-richtlijn is omgezet in Belgisch recht door de Belgische wet van 26 april 2024 betreffende de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (de "NIS2-wet"), die op 18 oktober 2024 in werking is getreden.

In deze blog richten we ons op de bepalingen van de NIS2-wet. 

2. Valt uw organisatie eigenlijk onder NIS2? 

In deze blog gaan we ervan uit dat u al hebt onderzocht of uw organisatie binnen het toepassingsgebied van de NIS2-richtlijn valt en dus wordt beschouwd als een "NIS2-entiteit". De reikwijdte van het NIS2-raamwerk is breder en behoorlijk complexer dan onder NIS1. 

Als u niet zeker weet of uw organisatie onder het toepassingsgebied van NIS2 valt, boek dan een gratis videogesprek met ons. 

3. Wat is een cyberincident en moet elk cyberincident worden gemeld onder NIS2? 

De Belgische NIS2-wet bepaalt dat enkel "significante" incidenten verplicht moeten worden gemeld aan de bevoegde cyberbeveiligingsautoriteit en eventueel aan de betrokken partijen. 

Maar dan moeten we eerst weten wat een cyberincident is. In het algemeen zijn cyberincidenten, of ze nu van significante aard zijn of niet, gebeurtenissen die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van gegevens of de diensten van netwerk- en informatiesystemen in gevaar brengen. Het NIS2-raamwerk voorziet ook een definitie voor “bijna-incidenten”. Dat zijn cyberincidenten die vermeden zijn of die zich niet hebben gematerialiseerd. 

Duidelijke voorbeelden van cyberincidenten zijn hacking, een ransomware-aanval of een phishing-aanval. Maar ook andere gebeurtenissen kunnen tot een cyberincident leiden. Denk aan het verlies van een apparaat, insiderbedreigingen of foute configuraties van netwerk- of informatiesystemen. Deze gebeurtenissen kunnen accidenteel zijn of opzettelijk. Ze kunnen veroorzaakt zijn door een werknemer, een leverancier of ander derden in de toeleveringsketen. 

Niet elk cyberincident moet echter worden gemeld aan de bevoegde cyberbeveiligingsautoriteit. Alleen significante cyberincidenten moeten worden gemeld. Maar wanneer is een cyberincident significant? Dat is het geval wanneer het cyberincident: 

• ernstige verstoringen of financieel verlies veroorzaakt of waarschijnlijk zal veroorzaken voor een NIS2-entiteit, en/of 

• aanzienlijke materiële, persoonlijke of immateriële schade veroorzaakt of kan veroorzaken aan andere natuurlijke of rechtspersonen. 

Het is dus niet nodig om elk afzonderlijk cyberincident te melden, maar het is wel belangrijk om de impact van een cyberincident te evalueren, niet alleen op je eigen organisatie, maar ook op andere en andere organisaties of personen. Daarnaast kunnen cyberincident ook vrijwillig worden gemeld aan de bevoegde cyberbeveiligingsautoriteit. 

4. Wat dan met het melden van bijna-incidenten? 

Waar het NIS2-raamwerk minder duidelijk over is, is de melding van bijna-incidenten. De meldplicht geldt voor cyberincidenten, maar lijkt niet uitdrukkelijk op dezelfde manier te gelden voor bijna-incidenten. Toch voorziet het NIS2-raamwerk in het delen van informatie tussen bevoegde cybersecurityautoriteiten over de grenzen heen, maar het lijkt erop dat de cybersecurityautoriteiten voor het verzamelen van deze informatie afhankelijk zullen zijn van eigen onderzoek of van de vrijwillige melding van bijna-incidenten. 

De onduidelijkheid omtrent het melden van bijna-incidenten is interessant om te vergelijken met het melden van lekken van persoonsgegevens onder de Algemene Verordening Gegevensbescherming (AVG) (zie ook hoofdstuk 8 hieronder). Daar waar de NIS2-raamwerk een duidelijk onderscheid lijkt te maken tussen cyberincidenten die hebben plaatsgevonden en cyberincidenten die bijna hadden plaatsgevonden, maakt de AVG niet hetzelfde onderscheid voor het melden van lekken van persoonsgegevens. Onder de AVG is het moet de verwerkingsverantwoordelijke in geval van een lek van persoonsgegevens een inschatting maakt van het risico voor de rechten en vrijheden van de betrokkenen. Als er een risico is, dan moet de verwerkingsverantwoordelijke het lek melden aan de bevoegde gegevensbeschermingsautoriteit. Is er echter twijfel, dan is het aan de verwerkingsverantwoordelijke om te beslissen om al dan niet het lek te melden. Dat onderscheid is minder duidelijk dan in het NIS2-raamwerk. 

5. Waarom is er een meldplicht voor cyberincidenten? 

Een goede reflex is de vraag: waarom voorziet het NIS2-raamwerk eigenlijk een meldplicht voor bepaalde cyberincidenten? 

Het doel van de wetgever is tweeledig: 

• Enerzijds helpt een melding om het cyberincident zo snel mogelijk te stoppen. Door een snelle melding kunnen we soms de verspreiding van cyberincidenten stoppen. Een melding stelt NIS2-entiteiten ook in staat om hulp in te roepen. 

• Anderzijds kunnen we uit cyberincidenten lessen trekken voor de toekomst. 

Door te analyseren wat er is gebeurd in een bepaald cyberincident, kunnen we misschien toekomstige cyberincidenten vermijden. Hierdoor kunnen we de cyberweerbaarheid van organisaties en soms hele sectoren verbeteren. 

6. Aan wie moeten significante cyberincidenten worden gemeld en wat in grensoverschrijdende gevallen? 

Significante cyberincidenten moeten altijd worden gemeld aan het nationale Computer Security Incident Response Team (het "CSIRT") of, indien van toepassing, aan de ontvangers van de diensten van een NIS2-entiteit wanneer een incident die diensten waarschijnlijk zal verstoren. 

In België is het CSIRT het Centrum voor Cyberbeveiliging België (het "CCB"). Het CCB biedt ook vertrouwelijkheidsgaranties tijdens de meldingsprocedure. Informatie over cyberincidenten wordt alleen met mensen gedeeld op een need-to-know basis, om verdere mogelijke lekken te voorkomen. Houd er rekening mee dat er speciale regels gelden voor de financiële sector, want in de financiële sector spelen de Nationale Bank van België (de "NBB") of de Autoriteit voor Financiële Diensten en Markten (de "FSMA") een belangrijke rol. 

Maar cyberincidenten beperken zich vaak niet tot het grondgebied van één lidstaat. Het kan dus gebeuren dat een cyberincident grensoverschrijdende gevolgen, wat dan? In de meeste gevallen is het niet nodig om een significant incident in alle lidstaten te melden. Het NIS2-raamwerk bepaalt immers dat de bevoegde cyberbeveiligingsautoriteit uitsluitend die is waar de NIS2-entiteit is gevestigd. Op deze regel bestaan wel enkele uitzonderingen, zoals voor aanbieders van openbare elektronische communicatienetwerken en aanbieders van openbare elektronische communicatiediensten. Die kunnen verplicht zijn om in meerdere lidstaten een cyberincident te melden. 

We kunnen dit illustreren aan de hand van een eenvoudig voorbeeld. De realiteit kan veel complexer zijn, maar laten we het voorbeeld nemen van een Duits bedrijf dat ook diensten levert in België. Wanneer zich een significant cyberincident voordoet, dan heeft dit bedrijf geen meldingsplicht in België, aangezien het bedrijf er niet is gevestigd. Het bedrijf zal echter waarschijnlijk wel het cyberincident moeten melden aan de Duitse cyberbeveiligingsautoriteit en dit onder de Duitse NIS2-wet. 

7. Wat is de deadline voor het melden van een significant incident? 

Het NIS2-raamwerk voorziet een systeem van ene melding in drie fasen, waarbij de eerste melding zeer snel moet gebeuren. De reden hiervoor is immers dat één van de bedoelingen van de meldplicht is om de verdere verspreiding van cyberincidenten te stoppen (zie hierboven hoofdstuk 5). 

We onderscheiden drie fasen: vroegtijdige waarschuwing, incidentmelding en eindrapport. 

Vroegtijdige waarschuwing (fase 1) 

Binnen 24 uur nadat een NIS2-entiteit zich bewust is geworden van het cyberincident, moet ze een vroegtijdige waarschuwing uitsturen. 

De deadline voor deze vroegtijdige waarschuwing is zeer kort en is bedoeld om het cyberincident onder de aandacht van de nationale cyberbeveiligingsautoriteit of de betrokken personen te brengen.

 In deze vroegtijdige waarschuwing moet alleen worden vermeld of het cyberincident vermoedelijk is veroorzaakt door illegale of kwaadwillige handelingen en of het cyberincident een grensoverschrijdend effect kan hebben. 

Het CCB merkt op dat deze vroegtijdige waarschuwing de middelen van de meldende entiteit niet mag afleiden van prioritaire activiteiten voor incidentbeheer. Hoewel de melding van het cyberincident natuurlijk belangrijk is, moet de NIS2-entiteit voorrang geven aan de stappen die nodig zijn om het cyberincident in te perken en te stoppen. 

Incidentmelding (fase 2) 

Binnen 72 uur na het bekend worden van het cyberincident moet de NIS2-entiteit een incidentmelding doen. 

De incidentmelding is uitgebreider dan de vroegtijdige waarschuwing en geeft een eerste beoordeling van het cyberincident. Dit omvat een analyse van de ernst en impact van het cyberincident, evenals indicatoren van compromittering, indien beschikbaar. 

Net zoals voor de vroege waarschuwing, mag deze incidentmelding geen middelen afleiden van het beheersen, inperken en stoppen van een cyberincident. Uiteraard mag dit er ook niet toe leiden dat de incidentmelding niet (correct en tijdig) gebeurt. Dus de NIS2-entiteit moet zich op voorhand goed organiseren zodat er bij een cyberincident op twee paden gewerkt kan worden: zowel het beheersen, inperken en stoppen van het cyberincident en het werken aan een correcte en tijdige incidentmelding.

Eindrapport (fase 3) 

Een maand na de melding van het incident in de tweede fase moet de NIS2-entiteit een eindrapport indienen. 

Het eindrapport is een gedetailleerde(re) beschrijving van het cyberincident. Zo moet het eindrapport een overzicht geven van de ernst en de impact van het cyberincident, het type dreiging dat het cyberincident waarschijnlijk heeft veroorzaakt en de stappen die de NIS2-entiteit heeft genomen of neemt, zoals de risicobeperkende maatregelen. 

Tot slot moet dit eindrapport, indien relevant, ingaan op de grensoverschrijdende impact van het cyberincident. 

8. Wat als het cyberincident ook betrekking heeft op persoonsgegevens? 

Allereerst is het belangrijk op te merken dat de meldingsplicht uit het NIS2-raamwerk niet in de plaats komt van de verplichting om lekken van persoonsgegevens te melden op basis van de AVG.

Wanneer een cyberincident een lek van persoonsgegevens omvat, moet de organisatie de toepassing van het NIS2-raamwerk dus combineren met de toepassing van de bepalingen uit de AVG. Denk aan het voorbeeld waarbij een werknemer een e-mail met klantgegevens naar de verkeerde ontvanger stuurt. Dit kan zowel een NIS2-incident zijn als een lek van persoonsgegevens onder de AVG. 

Indien het lek ook onder de AVG meldenswaardig is, dan moet de organisatie een lek inzake persoonsgegevens aan een andere autoriteit dan de cyberbeveiligingsautoriteit melden. Dit moet ook gebeuren binnen de deadline die de AVG bepaalt (lees onze blog hierover). Voor organisaties is het dus belangrijk om rekening te houden met verschillende meldplichten onder verschillende juridische instrumenten en dit ook op te nemen in de interne incidentprocedures. 

Dat deze interne incidentprocedures belangrijk zijn, blijkt ook uit een zaak waarbij de Belgische Gegevensbeschermingsautoriteit geen administratieve geldboete oplegde aan een bedrijf dat een lek van persoonsgegevens correct en tijdig had gemeld. Dat is in overeenstemming met de realiteit dat elke organisatie, hoe goed beveiligd de organisatie ook kan zijn, steeds het slachtoffer kan worden van een cyberincident. 

Echter, niet elk cyberincident is ook een lek inzake persoonsgegevens. Bijvoorbeeld, bij een Distributed Denial of Service aanval (DDoS-aanval), waarbij cybercriminelen een websiteserver overspoelen met een overweldigende hoeveelheid gegevensverkeer waardoor de websiteserver crasht. Dit kan een cyberincident zijn, maar dit hoeft niet noodzakelijk een lek inzake persoonsgegevens te zijn. De website kan immers louter informatief van aard zijn en host niet noodzakelijk ook persoonsgegevens. 

9. Wat als de meldingsplicht niet wordt nageleefd? 

De NIS2-wet voorziet in administratieve geldboetes wanneer niet wordt voldaan aan de meldingsplicht. Deze kunnen in België variëren van 500 tot 125.000 EUR. Deze kan worden verdubbeld in geval van herhaling. 

Naast de mogelijke administratieve geldboete, kunnen de bestuurders ook persoonlijk aansprakelijk gesteld worden en kan een cyberincident voor bepaalde organisaties tot zodanig grote imagoschade leiden, dat het voortbestaan van de organisatie zelfs in gevaar kan komen. 

10. Er kunnen ook contractuele gevolgen zijn bij een cyberincident! 

In deze blogpost zijn we ingegaan op de meldingsplicht onder de NIS2-wet. Hoewel het melden van cyberincidenten van cruciaal belang is, is het slechts één stukje van de puzzel. 

Cyberincident leiden ook vaak tot contractuele gevolgen. Denk hierbij aan 

• mogelijke contractuele (forfaitaire) schadebedingen, 

• eventuele contractuele meldplichten, 

• discussies over aansprakelijkheid of de beperkingen daarvan, 

• discussies over beveiligingsverplichtingen, 

• discussies over de schending van vertrouwelijkheidsverplichtingen, 

• discussies over overmacht en 

• een algemene deuk in het vertrouwen tussen de contractspartijen. 

Deze contractuele gevolgen kunnen ingrijpend zijn. Daarom is het raadzaam dat organisaties deze eventuele gevolgen op voorhand in kaart brengen. 

11. Conclusie: NIS2-implementatie is geen louter IT-project 

De realiteit is dat cyberincidenten voortdurend gebeuren. 

Sommige organisaties of sectoren zijn gevoeliger voor cyberincidenten dan andere, maar vroeg of laat krijgt elke organisatie, hoe goed beveiligd dan ook, te maken met een klein of groot cyberincident. 

In dat geval moet de organisatie voorbereid zijn om snel en doortastend te handelen. De deadlines voor het melden van cyberincidenten zijn zeer kort, dus het is essentieel om voorbereid te zijn en te weten wat aan wie gemeld moet worden. 

Wij zien helaas nog te vaak dat organisaties de NIS2-implementatie beschouwen als een louter IT-project. Maar zoals deze blog belicht, is ook een juridisch inzicht in voorbereiding op en het beheersen van de gevolgen van een cyberincident cruciaal om het NIS2-raamwerk na te leven. 

De advocaten van Timelex spreken ook de taal van uw IT departement en kunnen zo naadloos samenwerken om te vermijden dat uw organisatie de juridische aspecten van de NIS2-implementatie over het hoofd ziet. Wenst u graag meer informatie hierover? Boek dan een gratis videogesprek met ons!

Related posts