1 Algemene beveiligingsmaatregelen

De AED moet technische en organisatorische maatregelen nemen:

a) die passend en evenredig zijn

• Op adequate en gepaste wijze reageren op een gegeven situatie (de maatregelen hierop afstemmen).

b) om de risico’s voor de beveiliging van netwerk- en informatiesystemen te beheersen (na een risicoanalyse)

• Risico: “elke redelijkerwijs vast te stellen omstandigheid of gebeurtenis met een mogelijke negatieve impact op de beveiliging van netwerk- en informatiesystemen” (art. 6, 15°, van de NIS-wet)
• Beveiliging van netwerk- en informatiesystemen: “het vermogen van netwerk- en informatiesystemen om met een bepaalde mate van betrouwbaarheid bestand te zijn tegen acties die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van de opgeslagen, verzonden of verwerkte gegevens of de daaraan gerelateerde diensten die via die netwerk- en informatiesystemen worden aangeboden of toegankelijk zijn, in gevaar brengen” (art. 6, 9°, van de NIS-wet).

• Beschikbaarheid: vermogen van een systeem om toegankelijk en bruikbaar te zijn ® de werking ervan waarborgen
• Authenticiteit: vermogen van een systeem om te bevestigen dat het is wat het beweert te zijn
• Integriteit: vermogen van een systeem om niet te worden gewijzigd door niet-gemachtigde entiteiten
• Vertrouwelijkheid: vermogen van een systeem om toegang tot de gegevens ervan door niet-gemachtigde personen te voorkomen.
• Netwerk- en informatiesysteem (art. 6, 8°, van de NIS-wet):

1. een elektronische-communicatienetwerk in de zin van artikel 2, 3°, van de wet van 13 juni 2005 betreffende de elektronische communicatie;
2. een apparaat of groep van permanent of tijdelijk gekoppelde of bij elkaar behorende apparaten, waarvan een of meer elementen, in uitvoering van een programma, digitale gegevens automatisch verwerken, met inbegrip van de digitale, elektronische of mechanische componenten van dat apparaat die met name de automatisering van het operationele proces, de controle op afstand of het verkrijgen van werkingsgegevens in real time mogelijk maken;
3. of digitale gegevens die via in de bepalingen onder a) en b), bedoelde elementen worden opgeslagen, verwerkt, opgehaald of verzonden met het oog op de werking, het gebruik, de beveiliging en het onderhoud ervan.

c) om te zorgen voor een niveau van fysieke en logische beveiliging

• Ervoor zorgen dat een systeem met een bepaalde mate van betrouwbaarheid bestand is tegen gebeurtenissen die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van de verzonden of verwerkte gegevens of de daaraan gerelateerde diensten die via dat systeem worden aangeboden of toegankelijk zijn, in gevaar kunnen brengen.

• Fysiek: maatregelen die de weerbaarheid van de materiële elementen van de netwerk- en informatiesystemen waarborgen (fysieke toegang tot informatica-uitrusting, serverlokaal, enz.).
• Logisch: maatregelen die de weerbaarheid van de logische elementen van de netwerk- en informatiesystemen waarborgen (toegangscontrole voor software, encryptie, monitoring, antivirus, enz.).

d) afgestemd op de risico’s die zich voordoen rekening houdend met de huidige stand van de technische kennis

• De techniek moet op de markt aanwezig zijn als een product dat reeds wordt verkocht, niet als prototype waardoor ze moeilijk beschikbaar zou zijn.
• Technology watch is absoluut noodzakelijk

e) passend om incidenten die de beveiliging van de netwerk- en informatiesystemen aantasten, te voorkomen

• Passend: hangt af van het voorwerp waarop ze betrekking hebben en of ze afgestemd zijn op het voorkomen van incidenten
• Incidenten voorkomen: de gevolgen ervan minimaliseren, om de continuïteit van de verlening van de essentiële diensten te waarborgen.

De AED moet een beveiligingsbeleid (I.B.B.) uitwerken en toepassen voor de netwerk- en informatiesystemen waarvan de essentiële diensten die hij verleent afhankelijk zijn. Dit I.B.B. bevat minstens de geïmplementeerde concrete beveiligingsdoelstellingen en -maatregelen.

2 Specifieke maatregelen

De Koning kan, bij koninklijk besluit, bepaalde specifieke beveiligingsmaatregelen opleggen aan alle AED’s (of aan bepaalde soorten AED’s) van een of meer sectoren (of deelsectoren).

Ook de bevoegde sectorale overheid kan, bij individuele administratieve beslissing, specifieke beveiligingsmaatregelen opleggen aan een bepaalde AED.

3 Referentiedocumenten

Bij de tenuitvoerlegging van zijn beveiligingsmaatregelen kan het EAD, naast erkende technische normen (bijvoorbeeld ISO 27001), gebruik maken van de volgende referentiedocumenten

• NIS Samenwerkingsgroep (CG NIS) :

« Reference document on security measures for Operators of Essential Services »

https://ec.europa.eu/information_society/newsroom/image/document/2018-30/reference_document_security_measures_0040C183-FF20-ECC4-A3D11FA2A80DAAC6_53643.pdf

• Agentschap van de Europese Unie voor cyberbeveiliging (ENISA)

« Guidelines on assessing DSP security and OES compliance with the NISD security requirements »

https://www.enisa.europa.eu/publications/guidelines-on-assessing-dsp-security-and-oes-compliance-with-the-nisd-security-requirements

“Interactive table of the NIS Cooperation Group Security Measures for OES” –

https://www.enisa.europa.eu/topics/nis-directive/minimum-security-measures-for-operators-of-essentials-services

• Centrum voor Cybersecurity België (CCB) :

Baseline Information Security Guidelines (BSG) - 2019

https://ccb.belgium.be/sites/default/files/Richtlijnen%20en%20goede%20praktijken%20voor%20de%20informatie%20veiligheid%20v2019%20NL%20f....pdf

Cyber Guide

https://cyberguide.ccb.belgium.be

De AED kan zelf aan de externe auditinstelling en/of inspectiedienst bewijzen dat hij de algemene en specifieke beveiligingsverplichtingen naleeft (art. 20 en 21 van de NIS-wet) door zijn risicoanalyse, het beveiligingsniveau van zijn technische/organisatorische maatregelen, de geschiktheid van de maatregelen om incidenten te voorkomen enz. adequaat te documenteren. In dat geval berust de bewijslast voor de conformiteit bij de AED.

De AED kan ook een ISO 27001 certificaat (niet verplicht) gebruiken dat wordt uitgereikt door een instelling voor de conformiteitsbeoordeling die geaccrediteerd is door BELAC (of door een gelijkwaardige Europese instelling) en dat betrekking heeft op de maatregelen voor de beveiliging van de netwerk- en informatiesystemen die noodzakelijk zijn voor de verlening van de essentiële dienst of diensten. In dat geval geniet de AED het vermoeden dat zijn IBB conform de beveiligingseisen is, wanneer voldaan is aan de eisen van de norm ISO/IEC 27001 “Managementsystemen voor informatiebeveiliging” (of aan een nationale, buitenlandse of internationale norm die door de Koning als gelijkwaardig wordt erkend).

De naleving van de norm ISO/IEC 27001 houdt immers in dat de wettelijke eisen die van toepassing zijn op de AED worden gerespecteerd (met inbegrip van de algemene beveiligingsmaatregelen die voortvloeien uit de NIS-wet en de specifieke beveiligingsmaatregelen).

Dit vermoeden geldt tot het bewijs van het tegendeel door de inspectiedienst. De bewijslast berust dus bij de inspectiedienst en niet bij de AED.

Binnen 3 maanden na zijn aanwijzing moet de AED:

• de sectorale overheid een beschrijving bezorgen van de netwerk- en informatiesystemen waarvan de verlening van de betrokken essentiële dienst of diensten afhankelijk is;
• een intern contactpunt voor de beveiliging van netwerk- en informatiesystemen aanwijzen;
• de contactgegevens van het contactpunt bezorgen aan de bevoegde sectorale overheid.

Binnen een termijn van 12 maanden na zijn aanwijzing moet de AED zijn beveiligingsbeleid voor zijn netwerk- en informatiesystemen (I.B.B.) uitwerken.

Binnen 3 maanden na de uitwerking van zijn I.B.B. voert de AED zijn eerste interne audit uit.

Binnen een termijn van 24 maanden na zijn aanwijzing moet de AED de in zijn I.B.B. beschreven maatregelen implementeren.

Binnen 24 maanden na de uitvoering van zijn eerste interneaudit voert de AED zijn eerste externeaudit uit.