De NIS Wetgeving

NIS Wetgeving

Op 3 mei 2019 was het zo ver: de wet tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare werking (oftewel de “NIS wet”) trad in werking. De NIS wet is een omzetting van de Europese Richtlijn (EU) 2016/1148 en kwam bijna een jaar te laat.

Toepassingsgebied

De NIS wet is van toepassing op, enerzijds, aanbieders van essentiële diensten en, anderzijds, digitale dienstverleners.

Onder de eerste categorie vallen aanbieders in zes sectoren: energie, vervoer, financiën, gezondheidszorg, drinkbaar water en digitale infrastructuur, voor zover deze aanbieders een vestiging op Belgisch grondgebied hebben en daadwerkelijk een essentiële dienst aanbieden. Het is aan de sectorale overheden om de essentiële diensten aan te duiden. Zij moeten dit binnen de zes maanden na inwerkingtreding van de NIS wet doen en dus tegen uiterlijk 3 november 2019.

Onder de tweede categorie vallen bepaalde digitale dienstverleners. Het gaat meer bepaald om aanbieders van online marktplaatsen, online zoekmachines en clouddiensten, voor zover deze aanbieders hun hoofdkantoor in België hebben of zij diensten verlenen in België en in België een vertegenwoordiger hebben.

Verplichtingen aanbieders essentiële diensten

Het doel van de wet bestaat in het garanderen van een hoog beveiligingsniveau voor essentiële netwerk- en informatiesystemen. Dergelijk beveiligingsniveau is nodig om de continuïteit en de openbare veiligheid van de essentiële netwerk- en informatiesystemen te waarborgen.

De NIS wet verplicht de aanbieders van essentiële diensten tot:

  • het nemen van passende en evenredige technische en organisatorische maatregelen om   de risico’s voor de beveiliging van netwerk- en informatiesystemen waarvan de essentiële diensten afhankelijk zijn, te beheersen;
  • het uitwerken van een beveiligingsbeleid (“I.B.B”) dat voldoet aan de eisen van ISO/IEC 27001 standaarden;
  • het aanduiden van een contactpunt dat te allen tijde beschikbaar is;
  • het naleven van een meldplicht met betrekking tot alle incidenten die aanzienlijke gevolgen hebben voor de beschikbaarheid, vertrouwelijkheid, integriteit of authenticiteit van de netwerk- en informatiesystemen waarvan de essentiële dienst afhankelijk is. De melding dient onverwijld te gebeuren bij het nationale CSIRT (Computer Security Incident Response Team), sectorale overheid of sectorale CSIRT en een nader door de koning aan te duiden contactpunt;
  • het jaarlijks laten uitvoeren van een interne audit (op eigen kosten) op de relevante netwerk- en informatiesystemen, alsook het driejaarlijks laten uitvoeren van een externe audit (op eigen kosten);
  • alle medewerking verlenen aan de inspectiedienst bij het uitvoeren van hun taken.

Verplichtingen digitale dienstverleners

Ook op bepaalde digitale dienstverleners rusten verplichtingen. Het gaat om:

  • het nemen van passende en evenredige technische en organisatorische maatregelen, dewelke, rekening houdend met de stand van de technische kennis, voor een beveiliging zorgen dat afgestemd is op de door de digitale dienstverlener geïdentificeerde risico’s. Daarbij dienen zij alleszins rekening te houden met de beveiliging van systemen en voorzieningen, de behandeling van incidenten, het beheer van de bedrijfscontinuïteit, met toezicht, controle en testen en met inachtneming van internationale normen.
  • het aanduiden van een contactpunt;
  • het onverwijld melden van een incident met aanzienlijke gevolgen voor de verlening van de betreffende dienst aan de entiteiten zoals hierboven uiteengezet;
  • alle medewerking verlenen aan de inspectiedienst bij het uitvoeren van hun taken.

Voor de digitale dienstverlener bestaat op heden geen auditverplichting, maar de wet laat wel toe dat de koning bij koninklijk besluit praktische nadere regels voor het toezicht bepaalt.

GDPR

De verplichting tot het nemen van maatregelen en melden van incidenten doet al snel denken aan de GDPR. Hoewel er enige overlapping mogelijk is, is het toepassingsgebied van de twee instrumenten niet volledig gelijklopend: de GDPR heeft het enkel over persoonsgegevens, daar waar de NIS wet betrekking heeft op de beveiliging van netwerk- en informatiesystemen (ongeacht of er persoonsgegevens verwerkt worden) en dus een ruimer toepassingsgebied kent. Een incident onder de NIS wet zal bijvoorbeeld enkel een datalek uitmaken in de zin van de GDPR wanneer er ook persoonsgegevens bij betrokken zijn. De afweging of beide instrumenten, dan wel enkel het één of het ander van toepassing is, moet dus case by case worden beoordeeld.

De NIS wet neemt wel enkele specifieke bepalingen op met betrekking tot de bescherming van persoonsgegevens. Het duidt, o.a., enkele doeleinden van de verwerking aan, stelt dat indien mogelijk verwerkte gegevens gepseudonimiseerd en geaggregeerd moeten worden en stelt dat elke aanbieder van essentiële diensten en digitale dienstverlener verplicht is een functionaris voor gegevensbescherming aan te duiden.

Wet kritieke infrastructuren

De NIS wet doet geen afbreuk aan de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van kritieke infrastructuren die dus naast de NIS wet staat.

Deze wet is van toepassing op de sectoren vervoer, energie, financiën, elektronische communicatie, digitale infrastructuren, gezondheidszorg en drinkwater. Ook hier was het aan de sectorale overheden om aan te duiden wat de kritieke infrastructuren zijn.

Aanbieders van kritieke infrastructuren dienen te voorzien in een beveiligingsplan (“B.P.E.”), dienen een contactpunt aan te stellen dat te allen tijde beschikbaar is en hebben tevens een meldplicht wanneer zich een gebeurtenis voordoet die van aard is om de veiligheid van de kritieke infrastructuur te bedreigen.

Besluit

Door de omzetting van de Richtlijn naar Belgisch recht wordt eens te meer duidelijk dat cyberbeveiliging essentieel is in de toenemende digitale maatschappij . Naast de verplichtingen met betrekking tot de bescherming van persoonsgegevens en de bescherming van kritieke infrastructuren, is nu ook de bescherming van essentiële netwerk- en informatiesystemen verankerd in de Belgische rechtsorde.

Indien u vragen heeft over de toepasselijkheid van de NIS wet, de GDPR en/of de wet op de kritieke infrastructuren, kan u steeds contact opnemen met Questa Advocaten.