1) Het Centrum voor Cybersecurity België (CCB) is de nationale overheid die belast is met de opvolging en coördinatie van de uitvoering van de wet van 7 april 2019 (NIS-wet), het nationale computer security incident response team (nationaal CSIRT) en het centraal nationaal contactpunt voor de betrekkingen op het niveau van de Europese Unie.

2) Het Nationaal Crisiscentrum van de FOD Binnenlandse Zaken (NCCN) is de overheid die, in samenwerking met het CCB, de identificatie van AED’s coördineert.

3) De sectorale overheden:

• Voor Energie: de federale Minister van Energie of bij delegatie een leidend personeelslid van zijn/haar administratie.
• Voor Vervoer (met uitzondering van het vervoer over wateren toegankelijk voor zeeschepen): de federale Minister van Mobiliteitof bij delegatie een leidend personeelslid van zijn/haar administratie.
• Voor Vervoer over wateren toegankelijk voor zeeschepen: de federale Minister bevoegd voor Maritieme Mobiliteit of bij delegatie een leidend personeelslid van zijn/haar administratie.
• Voor Financiën, deelsector financiële instellingen: de Nationale Bank van België (NBB).
• Voor Financiën, deelsector financiële handelsplatformen: de Autoriteit voor Financiële Diensten en Markten (FSMA).
• Voor Gezondheidszorg: de federale Minister van Volksgezondheid (of bij delegatie een leidend personeelslid van zijn/haar administratie).
• Voor Digitale infrastructuren: het Belgisch Instituut voor postdiensten en telecommunicatie (BIPT).
• Voor Drinkwater: het Nationaal Comité voor de beveiliging van de levering en distributie van drinkwater (wordt momenteel opgericht).

De AED bedoeld in de NIS-wet is een publieke of private entiteit die daadwerkelijk een activiteit uitoefent in België die betrekking heeft op de verlening van een essentiële dienst in een van de sectoren opgenomen in bijlage I bij deze wet. Hij heeft minstens één vestiging op Belgisch grondgebied en is bij administratieve beslissing van de bevoegde sectorale overheid (zie vraag nr. 4 hierna) erkend als aanbieder van een essentiële dienst.

Bijv.: het beheer van een transmissienet voor elektriciteit.

Om door de sectorale overheid als AED te worden aangewezen, moet de aanbieder aan vier cumulatieve criteria voldoen:

a) tot een van de sectoren of deelsectoren bedoeld in bijlage I bij de NIS-wet behoren:

 b) een dienst aanbieden die door de bevoegde sectorale overheid als “essentieel” wordt beschouwd;

 c) de verlening van de dienst is afhankelijk van netwerk- en informatiesystemen (de NIS-wet gaat ervan uit dat dit het geval is);

 d) een “incident” met betrekking tot de “beveiliging van netwerk- en informatiesystemen” van de aanbieder kan “aanzienlijke verstorende effecten” hebben voor de verlening van de essentiële dienst (volgens de criteria bepaald door de bevoegde sectorale overheid).

Een essentiële dienst is een dienst die van essentieel belang is voor de instandhouding van kritieke maatschappelijke en/of economische activiteiten. De bevoegde sectorale overheid bepaalt binnen haar sector de diensten die als “essentieel” worden beschouwd, met name rekening houdend met de essentiële diensten opgenomen in bijlage I bij de NIS-wet.

Bijv.: het beheer van een distributienet voor elektriciteit.

De drempelwaarden of weerslagniveaus voor de identificatie worden bepaald door de bevoegde sectorale overheid en houden minstens rekening met de volgende intersectorale criteria:

1. het aantal gebruikers dat afhankelijk is van de door de betrokken entiteit verleende dienst;
2. de afhankelijkheid van de andere in bijlage I bij de NIS-wet bedoelde sectoren van de door die entiteit verleende dienst;
3. de gevolgen die incidenten kunnen hebben, wat betreft mate en duur, voor economische of maatschappelijke activiteiten of voor de openbare veiligheid;
4. het marktaandeel van die entiteit;
5. de omvang van het geografische gebied dat door een incident kan worden getroffen;
6. het belang van de entiteit voor de instandhouding van een toereikend dienstverleningsniveau, rekening houdend met de beschikbare alternatieven voor het verlenen van die dienst.

De NIS-wet heeft zowel betrekking op private als op publieke entiteiten in ruime zin (administratieve overheden, overheidsbedrijven, instellingen van openbaar nut, intercommunales, enz.) die essentiële diensten aanbieden in België.

Momenteel is het toepassingsgebied van de NIS-wet beperkt tot publieke entiteiten die actief zijn in een van de sectoren opgenomen in bijlage I bij deze wet (bijvoorbeeld: gas- of elektriciteitsdistributie, drinkwaterdistributie, luchthavenbeheer, ziekenhuisbeheer, enz.) en die de bevoegde sectorale overheid heeft aangewezen als AED’s. De huidige lijst van sectoren, deelsectoren en soorten AED’s kan in de toekomst door de Koning worden uitgebreid.

Het spreekt vanzelf dat andere publieke entiteiten ook een essentiële dienst verlenen voor de instandhouding van kritieke maatschappelijke en/of economische activiteiten, in het kader van hun taken van openbare dienst.

Los van de NIS-wet zijn deze publieke entiteiten al verplicht de wettelijke bepalingen na te leven die van toepassing zijn op hun netwerk- en informatiesysteem(systemen) (AVG Europese Verordening nr. 2016/679 van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Verordening e-IDAS (EU) nr. 910/2014 van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties, de wet van 15 augustus 2012 houdende oprichting en organisatie van een federale dienstenintegrator, de aansprakelijkheidsregels van overheden, enz.).

Dit zijn twee verschillende begrippen die elkaar echter aanvullen.

Het begrip “kritieke infrastructuur” (KI) bedoeld in de wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren verwijst naar een of meer specifieke elementen van een door een aanbieder verleende dienst die van essentieel belang zijn voor het behoud van vitale functies. Het betreft een installatie, een systeem of een deel daarvan.

Het begrip “essentiële dienst” bedoeld in de NIS-wet verwijst daarentegen naar de verlening van een dienst, in zijn geheel genomen (met alle componenten ervan), door een aanbieder die van essentieel belang is voor de instandhouding van kritieke maatschappelijke en/of economische activiteiten. Zo kan een AED ook de exploitant van een of meer kritieke infrastructuren zijn.

Verder is een nationale KI noodzakelijkerwijs gelegen in België, terwijl de installaties en systemen van een in België verleende essentiële dienst zich volledig of gedeeltelijk in het buitenland kunnen bevinden. Een Europese KI kan in België of in een andere lidstaat van de Europese Unie gelegen zijn.

De AED moet ook afhankelijk zijn van netwerk- en informatiesystemen om de goede werking van zijn essentiële diensten te waarborgen, terwijl dit niet noodzakelijk het geval is voor de exploitant van een KI (het toenemend gebruik van netwerk- en informatiesystemen door bedrijven en publieke entiteiten zorgt er evenwel voor dat dit onderscheid meer en meer theoretisch wordt).

Tot slot wordt een onderscheid gemaakt tussen de twee begrippen rekening houdend met de aard en de gevolgen van een eventueel incident. Een incident als bedoeld in de NIS-wet verwijst naar een gebeurtenis met een reële negatieve impact op de beveiliging van netwerk- en informatiesystemen, terwijl een incident als bedoeld in de wet van 1 juli 2011 verwijst naar een gebeurtenis die van dien aard is dat ze de veiligheid van de kritieke infrastructuur bedreigt, en dus niet noodzakelijk concrete gevolgen heeft voor de veiligheid van de infrastructuur of verband houdt met de beveiliging van de netwerk- en informatiesystemen van de infrastructuur.

Beide wetten gebruiken ook verschillende termen voor het potentiële incident waarmee het kritieke of essentiële karakter van de activiteiten van de aanbieder kan worden vastgesteld, namelijk de mogelijkheid van een incident dat aanzienlijke verstorende effecten kan hebben voor de verlening van een essentiële dienst voor de AED, of de mogelijkheid van de verstoring van de werking of de vernietiging van een installatie, een systeem of een deel daarvan die een aanzienlijke weerslag heeft doordat vitale maatschappelijke functies ontregeld raken. Beide begrippen delen niettemin de onderliggende wens om de continuïteit te waarborgen van activiteiten van openbaar belang die essentieel zijn voor de bevolking of de economie.

De bevoegde sectorale overheid gaat na welke aanbieders in haar sector actief zijn, en wijst de AED’s aan bij administratieve beslissing, op basis van de weerslagniveaus of drempelwaarden voor de identificatie. Het Centrum voor Cybersecurity België (CCB) en het Nationaal Crisiscentrum (NCCN) nemen deel aan het voorafgaand overleg over de aanwijzing en, in voorkomend geval, ook de betrokken gewestelijke of gemeenschapsoverheden.

Een intersectoraal criterium is een factor die gemeenschappelijk is voor alle sectoren bedoeld in bijlage I bij de NIS-wet en die het belang van een verstorend effect bepaalt (het aantal gebruikers, de afhankelijkheid van de andere sectoren, de gevolgen van een incident, het marktaandeel, het geografische gebied dat door een incident kan worden getroffen, het belang van de entiteit voor de instandhouding van een toereikend dienstverleningsniveau).

Een sectoraal criterium is een factor die eigen is aan een sector of deelsector bedoeld in bijlage I bij de NIS-wet en die het belang van een verstorend effect bepaalt.

Omdat de drempelwaarden en weerslagniveaus die door de sectorale overheden worden gekozen gevoelig zijn voor de openbare veiligheid, worden ze niet openbaar gemaakt (de bestuursdocumenten betreffende de identificatieprocedure worden beschouwd als bestuursdocumenten die verband houden met de veiligheid van de bevolking, de openbare orde en de veiligheid, in de zin van artikel 6, § 1, van de wet van 11 april 1994 betreffende de openbaarheid van bestuur, en die niet het voorwerp mogen uitmaken van inzake, uitleg of mededeling in afschrift voor het publiek).

De sectorale overheid moet, behoudens uitzondering (de NIS-wet gaat ervan uit dat de exploitatie van een kritieke infrastructuur afhankelijk is van netwerk- en informatiesystemen), alle exploitanten van kritieke infrastructuren (als bedoeld in de wet van 1 juli 2011) in haar sector aanwijzen als AED’s.

Bijv.: de beheerder van een transmissienet voor elektriciteit die werd geïdentificeerd als exploitant van een nationale KI wordt in principe ook aangewezen als AED.

Omgekeerd wordt een aangewezen AED niet automatisch geïdentificeerd als exploitant van een of meer KI’s: dat hangt af van de locatie van zijn installaties, uitrustingen en systemen (al dan niet in België) en van het kritieke belang ervan (in geval van vernietiging of verstoring van de werking ervan).

De sectorale overheid moet de lijst van AED’s van haar sector regelmatig bijwerken (minstens om de twee jaar).

AED’s hebben verschillende soorten verplichtingen:

• maatregelen nemen voor de beveiliging van de netwerk- en informatiesystemen die verband houden met de verlening van hun essentiële dienst(en);
• melden van beveiligingsincidenten bij de netwerk- en informatiesystemen die verband houden met de verlening van hun essentiële dienst(en);
• toezien op de beveiliging van de netwerk- en informatiesystemen die verband houden met de verlening van hun essentiële dienst(en): interne en externe audit;
• samenwerken en informatie uitwisselen met de verschillende bevoegde NIS-overheden.