De nieuwe NIS-richtlijn voor netwerk- en informatiebeveiliging is omgezet in de nationale wetgeving in België. Wat betekent het voor u? We zetten de praktische implicaties op een rij.
Cyberbedreigingen zijn alomtegenwoordig. De nationale wetgever heeft daarom een nieuwe wet geïntroduceerd om een ‘cybersecuritycultuur’ in België te stimuleren.
De nieuwe wet, de Netwerk- en Informatiebeveiligingswet of NIS-wet (Network and Information Security), dateert van 7 april 2019 en is op 3 mei 2019 gepubliceerd in het Belgisch Staatsblad. De wet is op die datum ook van kracht geworden. De NIS-wet is de omzetting door België van de richtlijn inzake netwerk- en informatiebeveiliging (de Network and Information Security Directive of NIS-richtlijn) die in juli 2016 door de Europese wetgever werd goedgekeurd, enkele maanden na de AVG.
Veel praktische aspecten voorzien in de nieuwe wet zullen verder worden uitgewerkt in een Koninklijk Besluit, waarvan een ontwerp in de Ministerraad is goedgekeurd en dat momenteel wordt behandeld door de Raad van State.
Naast het creëren van een overheidstoezicht en samenwerkingsmechanisme voor cybersecurity-zaken, legt deze wet bepaalde informatieveiligheidsverplichtingen op aan heel wat organisaties die in België actief zijn. Deze verplichtingen hebben vooral betrekking op het nemen van preventieve (informatie) veiligheidsmaatregelen en het melden van incidenten.
De wet inzake netwerk- en informatiebeveiliging bevat verplichtingen voor twee typen belanghebbenden:
In de twee bijlagen van de NIS-wet wordt omschreven in welke economische sectoren/activiteiten deze belanghebbenden te vinden zijn.
Ten eerste bent u als organisatie volgens deze Belgische wet alleen een aanbieder van essentiële diensten in de volgende gevallen:
Ten tweede moeten aanbieders van essentiële diensten actief zijn in een van de volgende sectoren:
Voor elk van deze sectoren wordt in bijlage 1 van de wet toegelicht welke operatoren binnen die sector onder de NIS-wet vallen. Om als aanbieder van een essentiële dienst in een van de sectoren te worden beschouwd, moet uw organisatie een dienst bieden die:
Een incident is elke gebeurtenis die een daadwerkelijk negatieve impact heeft op de beveiliging van het netwerk en informatiesystemen van uw organisatie (onder andere uw netwerken, servers, harde schijven, eindapparatuur, routers, firewalls, sensoren, SCADA-systemen, applicaties en data). Merk op dat dit een veel breder begrip is dan een inbreuk in verband met persoonsgegevens (een ‘personal data breach’) in de zin van de AVG.
Er moet een risico zijn dat een dergelijk incident mogelijk een significant verstorend effect heeft op de dienst van uw organisatie. Het is aan de autoriteit die bevoegd is voor uw sector om te bepalen wanneer hier sprake van is.
Houd er echter rekening mee dat, zelfs als uw organisatie voldoet aan de hierboven beschreven criteria, deze niet automatisch een aanbieder van essentiële diensten wordt. De autoriteit die bevoegd is voor uw sector moet u formeel als zodanig aanwijzen.
Zolang dat niet is gebeurd, blijft u een potentiële aanbieder van essentiële diensten en zal de impact van de NIS-wet op uw organisatie vrij beperkt zijn.
Digitaledienstverleners vallen alleen onder de nieuwe NIS-wet als:
Alleen als u een digitale dienst aanbiedt, valt u onder de NIS-wet. Een digitale dienst is een dienst van de informatiemaatschappij die ofwel:
Een online marktplaats is een dienst van de informatiemaatschappij die consumenten en/of handelaren in staat stelt om online verkoop- of servicecontracten te sluiten met handelaren, hetzij op de website van de online marktplaats, hetzij op de website van een handelaar die gebruik maakt van IT-diensten die door de online marktplaats worden aangeboden.
Een cloudcomputerdienst is een dienst van de informatiemaatschappij die toegang biedt tot een schaalbare en elastische pool van deelbare computercapaciteit. Merk op dat deze definitie niet alleen betrekking heeft op Infrastructure-as-a-Service (IaaS) modellen. De NIS-richtlijn verduidelijkt dat computercapaciteit moeten worden geïnterpreteerd als "netwerken, servers of andere infrastructuur, opslag, toepassingen en diensten". Bedrijven die Software-as-a-Service (SaaS) leveren, zijn daarom ook aanbieders van cloud computing-services in de zin van de NIS-wet.
In tegenstelling tot wat het geval is voor aanbieders van essentiële diensten, bent u automatisch een digitaledienstverlener in de zin van de NIS-wet op het moment dat u aan de wettelijke vereisten voldoet. Het is niet nodig om als zodanig door de nationale of een sectorale autoriteit te worden benoemd.
Als eerste stap benoemt u een contactpunt voor de beveiliging van uw netwerk- en informatiesystemen en informeert u uw sectorale autoriteit over de contactgegevens van uw aanspreekpunt binnen 3 maanden nadat u bent aangewezen als aanbieder van essentiële diensten.
Als tweede stap moet u mogelijke risico's voor de beveiliging van uw netwerk- en informatiesystemen identificeren en in kaart brengen. Het gaat om risico’s die betrekking hebben op elke vorm van activiteit die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van de gegevens die zijn opgeslagen, overgedragen of verwerkt met uw netwerk- en informatiesystemen, alsmede van gekoppelde diensten die bij deze systemen worden geleverd, kan bedreigen.
Houd er rekening mee dat dit niet alleen risico's zijn die u moet overwegen in het kader van artikel 32 van de AVG. In de NIS-wet moet u ook rekening houden met bedreigingen voor systemen en services zelf, en met bedreigingen voor andere soorten gegevens dan persoonsgegevens.
Als derde stap moet u maatregelen vaststellen, testen en implementeren die nodig zijn om de risico's voor uw systemen te beperken. Deze maatregelen moeten state-of-the-art zijn en moeten deel uitmaken van een beveiligingsbeleid. Dit beveiligingsbeleid moet binnen 12 maanden na de aanstelling als aanbieder van essentiële diensten worden opgesteld en binnen 24 maanden worden geïmplementeerd. Het is zeer raadzaam om uw beveiligingsbeleid in overeenstemming te brengen met ISO/IEC 27001. In deze maatregelen moet een bedrijfscontinuïteitsplan een belangrijke rol spelen.
Ten eerste, als u een micro- of kleine onderneming bent, dan bent u niet verplicht om beveiligingsmaatregelen te nemen en incidenten van de NIS-wet te melden. U moet echter wel een functionaris voor gegevensbescherming aanwijzen.
Net als voor aanbieders van essentiële diensten, moeten digitaledienstverleners één enkel contactpunt voor hun computersystemen aanwijzen en de sectorale autoriteit op de hoogte brengen. Ook moeten digitaledienstverleners bepaalde passende technische en organisatorische beveiligingsmaatregelen nemen. Deze maatregelen moeten state-of-the-art zijn en rekening houden met de geïdentificeerde risico's. Algemeen beschouwd moeten digitaledienstverleners op dit punt aldus vergelijkbare stappen zetten als aanbieders van essentiële diensten.
De Europese Commissie heeft in een verordening gedetailleerdere richtsnoeren verstrekt over de manier waarop aanbieders van digitale diensten risico’s kunnen vaststellen en maatregelen kunnen nemen. Dit in tegenstelling tot de situatie voor aanbieders van essentiële diensten, waar de sectorale autoriteiten praktische richtsnoeren dienen te geven over de mogelijke risico’s en maatregelen.
Zowel aanbieders van essentiële diensten en als de digitaledienstverleners zijn verplicht om incidenten te melden onder de NIS-wet. De criteria die bepalen of een incident moet worden gemeld en de werkwijzen voor het melden van een incident verschillen echter sterk.
Voor aanbieders van essentiële diensten moeten incidenten worden gemeld wanneer ze een aanzienlijke invloed hebben op de beschikbaarheid, vertrouwelijkheid, integriteit of authenticiteit van netwerk- en informatiesystemen waarvan de essentiële diensten afhankelijk zijn. Specifieke drempels om te bepalen of een incident zo'n significante impact heeft, kunnen bij koninklijk besluit worden bepaald.
Als er geen drempels worden bepaald, moet u alle incidenten rapporteren die een dergelijke impact hebben. Speciale meldingscategorieën kunnen bij Koninklijk Besluit worden gecreëerd. Incidenten moeten worden gemeld aan het Cybersecurity Centre for Belgium (CCB) en de bevoegde sectorale overheid of overheid.
Voor verleners van digitale diensten is de meldplicht voor incidenten enigszins anders. De Europese Commissie heeft in de Uitvoeringsverordening de drempels bepaald om vast te stellen of een incident aanzienlijke gevolgen heeft en daarom onder de rapportageverplichting valt. U moet incidenten melden via een elektronisch platform dat bij koninklijk besluit moet worden gecreëerd. Houd er rekening mee dat bepaalde zaken verplicht moeten worden opgenomen in uw incidentrapport. Goed om te weten is dat dit platform ook dient om inbreuken in verband met persoonsgegevens aan de Belgische gegevensbeschermingsautoriteit te melden.
De NIS-wet vereist dat exploitanten van essentiële diensten en verleners van digitale diensten een functionaris voor gegevensbescherming (DPO) aanwijzen. De NIS-wet verlaagt bijgevolg de drempels voor omstandigheden waarin een DPO moet worden aangesteld: er wordt niet gekeken naar de aard van de verwerkingsactiviteit of de aard van de verwerkte persoonsgegevens, maar naar de dienst die u levert. Als u onder de NIS-wet valt, bent u verplicht een DPO aan te stellen.
Vergelijkbaar met de GDPR voorziet de NIS-wet zowel administratieve als strafrechtelijke boetes wanneer organisaties niet voldoen aan de bepalingen ervan. Bovendien zullen de bevoegde autoriteiten verreikende bevoegdheden hebben om toezicht te houden op de naleving van deze nieuwe wet.
De NIS-wet heeft misschien niet zoveel aandacht gekregen als de GDPR, maar uw naleving ervan zal net zo belangrijk zijn.
Als u meer informatie wilt over wat deze wet voor uw organisatie betekent of als u op zoek bent naar een externe functionaris voor gegevensbescherming, neem dan contact op met een van onze advocaten. We helpen u graag verder.