De wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (de "NIS2-wet") zet EU-richtlijn 2022/van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie (de "NIS2-richtlijn") in Belgisch recht om en treedt in werking op 18 oktober van dit jaar.

Deze wet verplicht met name alle entiteiten die binnen haar toepassingsgebied vallen om alle incidenten die als een "significant" incident kunnen worden beschouwd, te melden aan het CCB. Een dergelijk incident wordt in de wet als volgt gedefinieerd:

“Elk incident dat significante gevolgen heeft voor de verlening van een van de diensten in de sectoren of deelsectoren van de bijlagen I en II van de wet en dat:

1. een ernstige operationele verstoring van een van de diensten in de sectoren of deelsectoren van de bijlagen I en II of financiële verliezen voor de betrokken entiteit heeft veroorzaakt of kan veroorzaken; of
2. andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materiële of immateriële schade te veroorzaken.”

Zodra een NIS2-entiteit een dergelijk incident opmerkt, moet ze dit aan het CCB melden. Deze melding verloopt in verschillende stappen (zie ook de afbeelding hieronder):

1. onverwijld en uiterlijk binnen 24 uur nadat zij kennis heeft gekregen van het significante incident, geeft de entiteit een vroegtijdige waarschuwing door;
2. onverwijld en uiterlijk binnen 72 uur (24 uur voor verleners van vertrouwensdiensten) nadat zij kennis heeft gekregen van het significante incident, communiceert de entiteit een incidentmelding;
3. op verzoek van het nationale CSIRT of, indien van toepassing, van de betrokken sectorale overheid, bezorgt de entiteit een tussentijds verslag;
4. uiterlijk één maand na de in punt 2 bedoelde incidentmelding, bezorgt de entiteit een eindverslag;
5. Indien het eindverslag niet kan worden ingediend omdat het incident nog aan de gang is, bezorgt de entiteit een voortgangsverslag en, binnen één maand nadat zij het incident definitief heeft afgehandeld, het eindverslag.

Afhankelijk van de omvang van het incident moet de entiteit ook de ontvangers van haar dienst informeren over het bestaan van het incident en over de maatregelen en correcties die de ontvangers kunnen nemen om op het incident te reageren.

Om erachter te komen wat NIS2 is, of de wet voor u van toepassing is, en welke verplichtingen dit nieuwe wettelijke kader met zich meebrengt kan je onze bijbehorende website lezen. Ga voor meer gedetailleerde informatie over de wet naar onze NIS2 pagina op Safeonweb@Work.

Dit artikel maakt deel uit van een artikelenreeks over de omzetting van de NIS2-richtlijn in België. De andere artikels kunnen hier worden geraadpleegd.