FAQ NIS betreffende de aanbieders van essentiële diensten (AED’s)
Inhoudstafel
Er zijn drie soorten controles van de AED’s vastgelegd:
- een internecontrole (interne audit);
- een externecontrole (externe audit) door een geaccrediteerde of erkende instelling voor de conformiteitsbeoordeling;
- een externecontrole (inspectie) door de leden van de bevoegde sectorale inspectiedienst.
a) interne controle
De AED moet minstens eenmaal per jaar en op zijn kosten een interne audit uitvoeren (door leden van zijn personeel en/of externe consultants) van de netwerk- en informatiesystemen waarvan de door hem verleende essentiële diensten afhankelijk zijn. Deze interne audit moet de AED toelaten zich ervan te vergewissen dat de in zijn I.B.B. bepaalde technische en organisatorische maatregelen goed worden toegepast en regelmatig worden gecontroleerd.
De AED bezorgt zijn interne auditverslagen binnen dertig dagen aan de bevoegde sectorale overheid.
b) externe controle
De AED laat, minstens om de drie jaar en op zijn kosten, een externe audit uitvoeren door een instelling voor de conformiteitsbeoordeling die geaccrediteerd is door BELAC (of door een gelijkwaardige accreditatieautoriteit van een andere lidstaat van de Europese Unie die de erkenningsakkoorden van de “European Cooperation for Accreditation” medeondertekend heeft) of die eventueel erkend is door de sectorale overheid.
De lijst van geaccrediteerde of erkende instellingen voor de conformiteitsbeoordeling is beschikbaar bij de sectorale overheid die ze actueel houdt.
De AED bezorgt zijn externe auditverslagen (eventueel samen met zijn opmerkingen) binnen dertig dagen aan de bevoegde sectorale overheid.
c) inspectie
De inspectiediensten kunnen op elk ogenblik controles uitvoeren op de naleving door de AED van de beveiligingsmaatregelen en de regels voor het melden van incidenten.
Het CCB of de sectorale overheid kan de inspectiedienst aanbevelen om een inspectie uit te voeren.
De inspectiedienst kan een beroep doen op experten.
AED’s die de verplichtingen van de NIS-wet niet naleven, kunnen worden veroordeeld tot strafrechtelijke sancties door een strafrechter (strafrechtelijke geldboetes en gevangenisstraffen) of tot administratieve sancties door de administratieve overheden (administratieve geldboetes).
|
Strafrechtelijke sanctie (per inbreuk) In geval van herhaling van dezelfde feiten binnen een termijn van drie jaar wordt de geldboete verdubbeld en de overtreder bestraft met een gevangenisstraf van 15 dagen tot 3 jaar. |
Administratieve sanctie (per inbreuk) In geval van herhaling van dezelfde feiten binnen een termijn van drie jaar wordtde administratieve geldboete verdubbeld. |
|
|
Alle nuttige informatie aan de NIS-overheden bezorgen die daarom verzoeken. |
Gevangenisstraf van 8 dagen tot 1 jaar en strafrechtelijke geldboete van 208 € (26 € x 8 (*)) tot 400.000 € (50.000 € x 8 (*)) of een van deze twee straffen. |
Geldboete van 500 tot 125.000 € |
|
Technische en organisatorische maatregelen nemen voor de beveiliging van de netwerk- en informatiesystemen waarvan de verleende diensten afhankelijk zijn. |
Gevangenisstraf van 8 dagen tot 1 jaar en geldboete van 208 € |
Geldboete van 500 tot 100.000 € |
|
Incidenten melden die de beveiliging aantasten van de netwerk- en informatiesystemen waarvan de verleende diensten afhankelijk zijn. |
Gevangenisstraf van 8 dagen tot 1 jaar en geldboete van 208 € |
Geldboete van 500 tot 75.000 € |
|
De vertrouwelijkheid/het beroepsgeheim waarborgen van de in het kader van de NIS-wet verwerkte informatie. + onderaannemers |
Gevangenisstraf van 1 jaar tot 3 jaar en geldboete van 800 € |
|
|
Jaarlijks een interne audit van de netwerk- en informatiesystemen uitvoeren. Om de drie jaar een externe audit van de netwerk- en informatiesystemen latenuitvoeren (door een geaccrediteerde of erkende instelling). |
Gevangenisstraf van 8 dagen tot 1 jaar en geldboete van 208 € |
Geldboete van 500 tot 200.000 € |
|
Opzettelijke belemmering van de uitvoering van een controle door een lid van de inspectiedienst, weigering om informatie mee te delen die naar aanleiding van een controle wordt gevraagd, of opzettelijke mededeling van foutieve of onvolledige informatie. |
Gevangenisstraf van 8 dagen tot 2 jaar en geldboete van 208 € |
Geldboete van 500 tot 200.000 € |
|
Iedere handeling waarbij een persoon die optreedt voor rekening van een AED nadelige gevolgenondervindt bij de uitvoering, te goeder trouw en in het kader van zijn functie, van de verplichtingen die voortvloeien uit de NIS-wet. |
(*) toepasselijke opdeciemen voor de maand april 2020 – zie website van de FOD Justitie voor de huidige vermenigvuldigingscoëfficiënt van de opdeciemen.
Indien de AED het slachtoffer is van een inbreuk inzake cybercriminaliteit en een klacht wenst in te dienen, moet hij dit zelf doen. De melding van een NIS-incident houdt op zich geen indiening van een strafklacht in.
De AED wordt echter sterk aangeraden een strafklacht in te dienen om de kans op herhaling te beperken.
Tot slot, overeenkomstig artikel 29 van het Wetboek van Strafvordering kunnen ambtenaren die bij AED’s werken alsook ambtenaren van de verschillende overheden die meldingen ontvangen, verplicht zijn om strafrechtelijke inbreuken te melden waarvan zij op de hoogte zijn bij de uitoefening van hun functie, en alle informatie daarover aan het openbaar ministerie te bezorgen.