Is uw organisatie klaar voor de nieuwe cybersecurityverplichtingen?

De wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid ("de Wet") zet (eindelijk) de Europese NIS-richtlijn (2016/1148/EU) om in Belgische wetgeving. Hiermee scherpt België zijn cybersecuritybeleid aan.

Wat beoogt de Wet?

Onze maatschappij en economie zijn steeds afhankelijker van goed draaiende en veilige netwerk- en informaticasystemen. De Wet moet dan ook verzekeren dat publieke en private bedrijven, organisaties, instellingen en overheden die zogenaamde "essentiële diensten" en "digitale diensten" aanbieden, hoog inzetten op cyberveiligheid en de verstoring of misbruik van hun netwerken en systemen proberen te voorkomen.

Op welke sectoren is de Wet van toepassing? 

De Wet is van toepassing op:

Zelfs als u geen OES of DSP bent, kan de Wet een grote impact hebben op uw organisatie als u goederen of diensten levert aan een OES of een DSP. OES's en DSP's zullen immers hun beveiligingsverplichtingen ook contractueel opleggen aan hun leveranciers.

Is de Wet van toepassing op uw organisatie?

Als digitaledienstverlener moet u zelf bepalen of de Wet op uw organisatie van toepassing is. Dat is het geval wanneer u één van de hierboven opgesomde digitale diensten verleent, tenzij u een kleine of micro-onderneming bent.

Als u essentiële diensten aanbiedt, moet uw sectorale overheid u eerst als een OES aanduiden. De sectorale overheid wordt per sector bij koninklijk besluit aangeduid en brengt alle organisaties in kaart die potentiële aanbieders zijn van essentiële diensten.

Bij de identificatie van een OES houdt de sectorale overheid rekening met (i) de vraag of de dienst van essentieel belang is voor de instandhouding van kritieke maatschappelijke en/of economische activiteiten, (ii) de mate waarin de dienst afhankelijk is van netwerk- en informaticasystemen, en (iii) het aanzienlijk verstorend effect dat een incident bij de werking van die systemen zou hebben. Voor het verstorend effect houdt de sectorale overheid rekening met weerslagniveaus of drempelwaarden in functie van het aantal gebruikers, de afhankelijkheid van andere sectoren van deze dienst, de gevolgen van het incident, het marktaandeel van de entiteit, de omvang van het geografische gebied dat kan worden getroffen en de beschikbare alternatieven.

Wat moet u als OES of DSP doen?

Passende en evenredige beveiligingsmaatregelen

Voor aanbieders van essentiële diensten en digitaledienstverleners gelden verstrengde cyberveiligheidsmaatregelen. Ze moeten passende en evenredige technische en organisatorische maatregelen nemen.

Op technisch vlak moet de organisatie voorzien in gepaste maatregelen om het netwerk- en informaticasysteem te beschermen tegen incidenten. Wat passend is, hangt af van de grootte, het belang en de aard van uw organisatie en de stand van de technische kennis. Zo zal de huishoudversie van een antivirusprogramma niet volstaan voor de beveiliging van het informaticasysteem dat gebruikt wordt voor de luchtverkeersleiding of voor de koelprocessen in kernreactoren.

Op organisatorisch vlak zorgt de aanbieder voor interne procedures, maatregelen en opleiding over het gebruik van het informaticasysteem om incidenten te voorkomen (cyberhygiëne) en een actieplan in geval van incidenten.

De aanbieders van essentiële diensten moeten die maatregelen beschrijven in een zogenaamd "beveiligingsbeleid voor de netwerk- en informatiesystemen" ("IBB"). IBB's die voldoen aan de ISO 270001-standaarden worden, tot bewijs van het tegendeel, geacht de Wet na te leven. Het IBB moet binnen de 12 maanden na de aanduiding als OES worden opgesteld en binnen de 24 maanden worden geïmplementeerd.

Meldingsplicht of -mogelijkheid van incidenten 

De Wet voert verder een meldingsplicht in voor incidenten bij OES's en DSP's. Incidenten zijn gebeurtenissen met aanzienlijke gevolgen op de beschikbaarheid, de vertrouwelijkheid, de integriteit of de authenticiteit van de informatiesystemen waarvan de dienstverlening afhankelijk is. Potentiële OES's kunnen incidenten melden, maar zijn daartoe niet verplicht.

Incidenten moeten onmiddellijk via een nog op te richten meldingsplatform worden gemeld aan het Computer Security Incident Response Team ("CSIRT"), de sectorale overheid of haar sectorale CSIRT, en de nationale autoriteit die de identificatie van OES's coördineert. Aanbieders in de financiële sector melden aan de Nationale Bank, handelsplatformen aan de FSMA. Let op: deze meldingsplicht staat los van de meldingsplicht op basis van de Algemene Verordening Gegevensbescherming bij inbreuken in verband met persoonsgegevens.

Wat is het risico?

Tegenover de verplichtingen in de Wet, zet de wetgever stevige sancties en vergaande bevoegdheden voor de inspectiediensten. Inbreuken op de Wet, in het bijzonder op de meldingsplicht, kunnen worden bestraft met administratieve sancties tot 200.000 EUR en strafrechtelijke sancties met gevangenisstraffen tot drie jaar en geldboetes tot 1.200.000 EUR.

Wanneer treedt de Wet in werking?

De Wet trad in werking op 3 mei 2019, de dag van haar publicatie in het Belgisch Staatsblad. Voor de uitvoering moeten nog enkele belangrijke koninklijke besluiten worden aangenomen, onder andere om de sectorale overheden aan te duiden.

Er doen zich elke dag cyberincidenten voor. Investeren in goede cybersecurity en opvolging loont. Eubelius staat u graag bij met advies, de opmaak van IBB's, opleidingen voor uw personeel, audits en de voorbereiding op en de aanpak van cyberincidenten.