3e verjaardag van de nationale wet tot omzetting van de ”NIS-richtlijn”
Op het gebied van cyberveiligheid in België is 7 april een bijzondere datum.
Deze datum markeert de omzetting in Belgisch recht van de EU-richtlijn “Network and Information System Security» (NIS-richtlijn). Wat is het doel van deze richtlijn? Deze richtlijn is in essentie bedoeld om een hoog en gemeenschappelijk niveau van veiligheid voor netwerken en informatiesystemen in de Europese Unie te waarborgen.
Deze EU-richtlijn heeft in België de eerste volledige en specifieke wettelijke basis gelegd in het domein van cyberveiligheid. De wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (of NIS-wet) heeft onder andere de wettelijke missies en expertise van het Centrum voor Cyberveiligheid van België (CCB) versterkt.
Op Europees niveau heeft de NIS-richtlijn geholpen bij het structureren en verbeteren van de samenwerking tussen de lidstaten i.v.m. beleids- en operationele aspecten van cyberveiligheid zowel wat de strategische als de operationele aspecten betreft, met name door de oprichting van de NIS Samenwerkingsgroep en een Europees netwerk van “CSIRT” (Computer Security Incident Response Teams). Het CCB speelt een actieve rol in deze beide Europese samenwerkingsorganen.
Op nationaal niveau heeft de NIS-wet het mogelijk gemaakt de Aanbieders van essentiële diensten (AED) te identificeren en hen voorschriften inzake beveiliging, melding van incidenten en monitoring op te leggen.
Een “Aanbieders van essentiële diensten” (AED) is een publieke of private entiteit die daadwerkelijk een activiteit uitoefent in België met betrekking tot de verlening van een essentiële dienst in een van de sectoren opgenomen in bijlage I van de wet (energie, vervoer, financiën, gezondheid, digitale infrastructuur en drinkwater), die minstens één vestiging op Belgisch grondgebied heeft en die door de bevoegde sectorale overheid is geïdentificeerd. De andere criteria voor de aanwijzing van een AED zijn:
- een dienst aanbieden die “essentieel” is voor het functioneren van kritieke maatschappelijke en/of economische activiteiten;
- de verlening van de dienst is afhankelijk van netwerk- en informatiesystemen (er wordt ervan uitgegaan dat dit het geval is);
- een “incident” met betrekking tot de “beveiliging van netwerk- en informatiesystemen” van de aanbieder kan “aanzienlijke verstorende effecten” hebben voor de verlening van de essentiële.
Voor meer info over “Aanbieders van essentiële diensten” (AED) zie https://ccb.belgium.be/nl/wettelijk-kader-voor-aanbieders-van-essenti%C3%ABle-diensten-aed
Wij hebben de meest gestelde vragen over het wettelijke kader voor aanbieders van essentiële diensten gepubliceerd in de vorm van een praktische
Een digitaledienstverlener (DDV) is een rechtspersoon die geen micro- of kleine onderneming is en bepaalde digitale diensten aanbiedt (cloudcomputerdienst, de onlinemarktplaats of de onlinezoekmachine), die zijn hoofdkantoor in België heeft.
Voor meeer informatie over digitaledienstverlener (DDV) zie https://ccb.belgium.be/nl/wettelijk-kader-voor-digitaledienstverleners-ddv
Aangezien de digitale wereld aan een speltempo evolueert, werkt de EU aan een tweede versie van de NIS-richtlijn ("NIS2" dus)... wordt vervolgd.
_____________
* Deze richtlijn (nr. 2016/1148) is op 6 juli 2016 door de EU aangenomen. In België is de "Wet tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid ", beter bekend onder "NIS Wet", op 7 april 2019 aangenomen en op 3 mei 2019 in het Belgisch Staatsblad gepubliceerd (zie http://www.ejustice.just.fgov.be/eli/loi/2019/04/07/2019011507/moniteur).