België zet NIS-richtlijn om in nationale wetgeving

Op 3 mei 2019 trad de “wet tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid”in werking. Deze wet is de langverwachte omzetting van de Europese Richtlijn (EU) 2016/1148 van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie. De omzetting komt nagenoeg een jaar te laat, nu de eigenlijke deadline voor omzetting verviel op 9 mei 2018.

Opzet en gevolgen

Het uitgangspunt van de omzettingswet is het garanderen van een hoog niveau van beveiliging van kritische netwerk- en informatiesystemen om zo de continuïteit en de openbare veiligheid van de kritische maatschappelijke of economische diensten te garanderen.

Met het oog op deze finaliteit verplicht de wet de aanbieders van zulke diensten:

  • Technische en organisatorische beveiligingsmaatregelen te nemen die incidenten kunnen vermijden of hun impact kunnen beperken. Met incident wordt elke gebeurtenis bedoeld die een reële negatieve invloed op de beveiliging van netwerk- en informatiesystemen hebben of kunnen hebben;
  • Een beveiligingsbeleid (“I.B.B.”) uit te werken in overeenstemming met ISO/IEC 27001;
  • Een incident te melden zodra dit zich voordoet. Deze meldingsplicht dient te worden uitgeoefend ten aanzien van de nationale CSIRT (Computer Security Incident Response Team), de sectorale overheid of sectorale CSIRT en de autoriteit die als NIS-contactpunt zal worden aangeduid door de koning. Deze laatste autoriteit zal hoogstwaarschijnlijk de CCB (Centre for Cyber Security Belgium) worden; 
  • Jaarlijks en op eigen kosten een interne audit uit te voeren op de netwerk- en informatiesystemen waarvan de door hem verleende essentiële diensten afhankelijk zijn, alsook een driejaarlijkse externe audit, wederom op eigen kosten;
  • Een contactpunt aan te wijzen, dat rechtstreeks door de bevoegde autoriteiten kan worden gecontacteerd voor elke vraag in verband met de beveiliging van de netwerk- en informatiesystemen waarvan de verleende essentiële diensten afhankelijk zijn. Met uitzondering van de contactpunten van digitale dienstverleners (cf. infra), dient dit contactpunt te allen tijde beschikbaar te zijn.

Aanbieders van essentiële diensten

De wet is van toepassing op:

  • Aanbieders van welbepaalde essentiële diensten, zoals leveranciers van elektriciteit, luchtvaartmaatschappijen, infrastructuurbeheerders van het spoorwegennet en financiële instellingen. Deze aanbieders dienen te worden aangeduid door de bevoegde autoriteit. Zulke lijst moet worden opgesteld binnen de 6 maanden na de omzetting, een termijn die gelet op de laattijdige omzetting aldus verstreken is.
  • Digitale dienstverleners, waaronder de NIS-wet verstaat alle aanbieders van online marktplaatsen, online zoekmachines en Clouddiensten, die hun hoofdkantoor in België hebben of, wanneer zij niet in de EU gevestigd zijn, die diensten verlenen in België en een vertegenwoordiger hebben in België. Zulke vertegenwoordiger wordt door de wet gedefinieerd als elke in België gevestigde natuurlijke of rechtspersoon die uitdrukkelijk is aangewezen om voor rekening van een niet in de Unie gevestigde digitale dienstverlener op te treden en die door de nationale autoriteit, de bevoegde sectorale overheid of de bevoegde inspectiedienst kan worden gecontacteerd in plaats van de digitale dienstverlener. Uitgesloten zijn micro- en kleine ondernemingen.

Verhouding met de GDPR

Gezien de NIS-richtlijn en -wet verplichte beveiligingsmaatregelen opleggen, overlappen zij met de Algemene Verordening Gegevensbescherming (GDPR) waar deze laatste verplichtingen oplegt die de beveiliging van persoonsgegevens beogen. Ongeacht de overlapping blijven beide instrumenten nochtans gelden naast elkaar, zoals ook de NIS-wet bevestigt.

Beide instrumenten hebben echter een verschillend materieel en personeel toepassingsgebied:

  • Daar waar de GDPR enkel van toepassing is op persoonsgegevens, is het materieel toepassingsgebied van de NIS-wet immers ruimer aangezien het al dan niet persoonlijk karakter van de data, die zich in het netwerk- en informatiesysteem bevinden waarvan de essentiële activiteiten afhangen, irrelevant is om te besluiten tot een NIS-incident. Stel bijvoorbeeld dat de netwerken van een aanbieder die onder de NIS-wet valt gehackt worden en er data worden bemachtigd, dan maakt de hacking een incident uit onder de NIS, ongeacht of er persoonsgegevens werden gelekt, aangezien het voorval een negatieve invloed heeft op de beveiliging van deze netwerken. Er is daarentegen slechts een datalek onder de GDPR indien er sprake is van gelekte persoonsgegevens.
  • De actoren die door de NIS worden geviseerd zijn daarentegen veel beperkter dan deze waarop de GDPR van toepassing is. Hernemen we het voorbeeld van de hacking waarbij we stellen dat er persoonsgegevens gelekt zijn, dan ontstaat er een meldingsverplichting onder de GDPR. Echter, er ontstaat niet zonder meer een meldingsverplichting onder de NIS, aangezien de verantwoordelijke voor de verwerking zich op de lijst van essentiële dienstverleners moet bevinden of een aanbieder van digitale diensten dient te zijn onder de NIS-wet.

Een NIS-incident kan met andere woorden een datalek in het kader van de GDPR zijn, maar een datalek in de zin van de GDPR is enkel gelinkt aan een incident onder de NIS-wet wanneer het voorvalt bij een aanbieder geviseerd door de NIS-wet.

Het is dus vooraleerst van belang te bepalen of een onderneming onder de NIS-wet valt of niet, hetgeen door de autoriteit wordt bepaald voor essentiële dienstverleners. Valt men onder de NIS-wet en doet er zich een incident voor, dan dient er specifiek voor dit incident nagegaan te worden of er persoonsgegevens gelekt zijn (en er voldaan is aan de andere voorwaarden die voortvloeien uit de GDPR). Zo nee, is er enkel een meldingsplicht onder de NIS-wet. Zo ja, is er ook een meldingsplicht onder de GDPR.

Besluit

De omzetting valt toe te juichen aangezien de doelgroep van de beveiligingsmaatregelen in de wet sterk wordt uitgebreid in vergelijking met de vroegere wet van 1 juli 2011 die de kritieke structuren beschermt. Daarenboven zal België op deze manier bijdragen aan een hoog beveiligingsniveau van netwerk- en informatienetwerken in de EU.

De aanduiding van de bevoegde autoriteiten en de geviseerde essentiële dienstverleners dient echter wel zo snel mogelijk te gebeuren, zodat deze laatstgenoemden met reeds een jaar vertraging weten waar zij aan toe zijn en de nodige stappen kunnen zetten op de verplichtingen die de wet oplegt na te komen. Voor digitale dienstverleners is het van belang om uit te maken of zij voldoen aan de in de wet gestipuleerde criteria en als dusdanig onder de wet vallen.

Heeft u nog vragen of twijfelt u over de toepasselijkheid van de NIS-wet op uw onderneming en de hieraan verbonden verplichtingen? Aarzel niet om ons te contacteren. 

Contact »