Vrijdag 18 oktober 2024 treden de Wet van 26 april 2024 en het bijhorende Koninklijk Besluit van 9 juni 2024 houdende de omzetting van de NIS2-richtlijn (“De Belgische omzettingswetgeving”) in werking. In een eerdere Legal Eubdate informeerden wij u over de belangrijkste implicaties hiervan voor uw organisatie. Naar aanleiding van de inwerkingtreding van de Belgische omzettingswetgeving brengen wij de voornaamste takeaways nog even voor u in herinnering.
Inwerkingtreding van de Belgische omzettingswetgeving
De verplichtingen van de Belgische omzettingswetgeving treden op 18 oktober 2024 in werking. De toepassing van de verschillende verplichtingen in de tijd ziet er schematisch als volgt uit:
Registratieverplichting of aanduiding door CCB
U dient voor uw organisatie na te gaan of deze onder het toepassingsgebied van de Belgische omzettingswetgeving valt en kwalificeert als een essentiële entiteit of een belangrijke entiteit. Als dat het geval is, moet u zich bij de bevoegde autoriteit, het Centrum voor Cybersecurity België (“CCB”), registreren via de online tool.
Een aanduiding door het CCB als belangrijke of essentiële entiteit is slechts mogelijk onder bepaalde strikte voorwaarden. Dit is het geval wanneer de entiteit (i) de enige aanbieder is, (ii) kritiek is vanwege een specifiek belang, (iii) een verstoring voor de openbare veiligheid, openbare beveiliging of de volksgezondheid kan veroorzaken, of (iv) een verstoring een aanzienlijk systeemrisico of kritiek specifiek belang kan veroorzaken met grensoverschrijdende impact.
Aandachtspunten voor vennootschapsgroepen
De omvang van een entiteit bepaalt (in de meeste gevallen) of deze onder het toepassingsgebied van NIS2 valt. In beginsel is dit enkel het geval voor grote en middelgrote entiteiten (volgens de drempels van Aanbeveling 2003/361/EG). De omvang van een entiteit wordt bepaald aan de hand van drempels op basis van het personeelsbestand van de entiteit enerzijds en een financiële parameter anderzijds. Die laatste omvat ofwel de jaaromzet ofwel het jaarlijkse balanstotaal. Stelt de entiteit minstens 50 voltijdse equivalenten tewerk dan kwalificeert deze in ieder geval als middelgrote entiteit. Is het personeelsbestand kleiner, dan zijn de financiële parameters bepalend.
Belangrijk daarbij is dat deze beoordeling in de regel niet gebeurt op basis van de entiteit op zich (stand alone) maar dat ook haar zogenaamde “partnerondernemingen” en “verbonden ondernemingen” in rekening worden gebracht. Voor bepaalde types van investeerders (waaronder zogenaamde risicokapitaalmaatschappen) geldt een uitzondering op deze consolidatieregels, voor zover zij geen overheersende invloed uitoefenen op de betrokken entiteit. Noteer wel dat bij fusie of overname de omvang van een entiteit opnieuw geëvalueerd moet worden op het moment van closing. Een voorheen niet gevatte entiteit kan zo door de omvang van de groep waarin zij terechtkomt alsnog binnen het toepassingsgebied vallen.
Voor groepsentiteiten die op stand alone basis niet als een middelgrote of grote onderneming kwalificeren en die een grote mate van onafhankelijkheid behouden ten opzichte van hun partneronderneming of verbonden onderneming, kan de kwalificatie evenwel worden aangepast. De nationale cyberbeveiligingsautoriteit moet immers rekening houden met de mate van onafhankelijkheid die de betrokken entiteit geniet, meer bepaald wat de netwerk- en informatiesystemen betreft waarvan zij gebruikmaakt bij het verlenen van haar diensten en wat de diensten betreft die zij verleent. Zo kan een entiteit alsnog kwalificeren als een belangrijke (in plaats van essentiële) entiteit of zelfs ontsnappen aan het toepassingsgebied van NIS2.
Meldingsplichten
Uw organisatie moet zich voorbereiden op het melden van cyberincidenten en de nodige interne voorbereidingen treffen (waaronder het opstellen van een beleid). De meldingsplicht volgt een strak tijdsschema. Significante incidenten moeten aan het CCB gemeld worden volgens volgende timing:
In bepaalde gevallen kan u ook verplicht zijn om significante incidenten en significante cyberbedreigingen aan ontvangers van uw diensten te melden.
Beheer van de toeleveringsketen (supply chain)
Om de nodige maatregelen voor het beheer van cyberbeveiligingsrisico’s te bepalen, moet u rekening houden met de beveiliging van uw toeleveringsketen. Dit vereist een analyse en evaluatie van de cyberbeveiligingsmaatregelen van uw dienstverleners en leveranciers. Hier ligt een opportuniteit om beveiligingsverplichtingen en -maatregelen contractueel ook aan de partijen in uw toeleveringsketen op te leggen. Denk dus aan de nodige contractuele clausules in de overeenkomsten met partijen in uw toeleveringsketen.
Rol van het bestuur en management van een entiteit
De NIS2-regels maken “de bestuursorganen” van de entiteit verantwoordelijk om passende en evenredige maatregelen goed te keuren en toe te zien op de uitvoering ervan. De leden van het bestuursorgaan moeten bovendien een opleiding volgen zodat ze over voldoende vaardigheden beschikken om risico’s te identificeren en risicobeheerspraktijken te beoordelen.
De wet scherpt ook de aansprakelijkheid van deze bestuursorganen en hun leden aan. Hoe ver de wetgever daarin wou gaan, is echter niet altijd duidelijk op basis van de wettekst en de parlementaire voorbereiding ervan. Dit zal ongetwijfeld nog voer zijn voor discussie. Wel duidelijk is dat sommige verplichtingen zich niet tot bestuursorganen in de strikte betekenis beperken en dat ook bepaalde leden van het (top)management worden geviseerd.
Recente ontwikkelingen
De Europese Commissie publiceerde op 17 oktober 2024 de langverwachte uitvoeringsverordening van de NIS2-richtlijn. De uitvoeringsverordening zou specifiek van toepassing zijn op bepaalde entiteiten waaronder DNS-dienstverleners en cloudcomputingdienstverleners. Ze bevat regels over het begrip “significant incident” en technische en methodologische eisen voor risicobeheersmaatregelen zoals bepaald in artikel 21.2 van de NIS2-Richtlijn.
Ook het werk van het CCB zit in een stroomversnelling met de inwerkingtreding van de Belgische omzettingswetgeving op 18 oktober 2024. Het CCB publiceerde in juli 2024 een NIS2 FAQ. Daarnaast werd recent aangekondigd dat BSI Group The Netherlands B.V. en Vinçotte als eerste geaccrediteerde en geautoriseerde conformiteitsbeoordelingsinstanties (CAB’s) zullen instaan voor de certificatie van de entiteiten onder de Belgische omzettingswetgeving.
Cyberincidenten komen dagelijks voor. Investeren in een goede cyberbeveiliging en de opvolging ervan loont. De Belgische NIS2-omzettingswetgeving legt boetes op in geval van niet-naleving van de regels, met administratieve boetes die kunnen oplopen tot 10 miljoen euro of 2% van de totale wereldwijde omzet van de entiteit in het voorgaande fiscale jaar. Daarnaast kunnen verschillende administratieve maatregelen opgelegd worden, waaronder waarschuwingen en bindende instructies, of de tijdelijke opschorting van een certificering of vergunning.
Eubelius staat u graag bij met advies, het opstellen van een beveiligingsbeleid, de opleiding van uw personeel, audits en uw voorbereiding en aanpak van cyberincidenten.