Het wetsontwerp tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid werd door de Binnenlandse zaken Commissie van de Kamer goedgekeurd (Kamer van volksvertegenwoordigers).

In dit kader, voorziet het wetsontwerp in de Belgische omzetting van de Europese richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gezamenlijk niveau van cyberbeveiliging in de Unie (hierna de “NIS2-richtlijn” genoemd).

De NIS2-richtlijn vervangt de richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie (hierna, NIS1-richtlijn genoemd). Deze richtlijn moet uiterlijk op 17 oktober 2024 in België zijn omgezet.

NIS 2 in een notendop

De NIS2-richtlijn heeft tot doel de cyberweerbaarheid op Europees niveau te versterken door in te zetten op volgende hoofddoelstellingen:

1. Uitbreiden van het aantal activiteiten en kritieke entiteiten binnen het toepassingsgebied van de richtlijn door gebruik te maken van definities en een omvangvereiste (size cap), (zonder vereiste van nationale identificatie – behoudens uitzondering);
2. Versterken van de risicobeheersmaatregelen op het gebied van cyberbeveiliging die entiteiten dienen te nemen evenals het versterken van de rapportage van incidenten (met twee categorieën: essentiële en belangrijke entiteiten);
3. Het aanmoedigen van informatiedeling over cyberincidenten en -risico’s tussen de entiteiten en het nationale CSIRT;
4. Versterken van het toezicht op de naleving en de sancties;
5. Zorgen voor een Europese en nationale samenwerking.

Gezien de vele vereiste wijzigingen, beoogt dit wetsontwerp de bepalingen van de wet van 7 april 2019 tot vaststelling van een kader voor de beveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid (hierna de NIS1-wet), waarmee de NIS1-richtlijn in België werd omgezet, volledig te vervangen.

Dit wetsontwerp is het resultaat van vele maanden overleg met de betrokken private spelers (de verenigingen en federaties van ondernemingen) en publieke spelers (de federaal en gefedereerde overheden), gecoördineerd door het kabinet van de Eerste Minister en het Centrum voor Cybersecurity België. Het was ook het onderwerp van een publieke raadpleging in december 2023.

Dit maakt deel uit van de cybersecurity strategie 2.0 die in 2021 is aangenomen door de Nationale Veiligheidsraad (NVR). Deze strategie beschrijft de nationale aanpak op dit gebied en de doelstellingen om organisaties van essentieel belang te beschermen tegen alle cyberdreigingen. De ambitie van deze strategie, is om van België één van de minst kwetsbare landen in Europa te maken.

Volgende stappen

De volgende stap is de stemming van de wet in de plenaire vergadering rond 18 april 2024 en de publicatie ervan in het Belgisch Staatsblad.

Daarna zal een koninklijk besluit tot uitvoering moeten worden aangenomen om bepaalde autoriteiten formeel aan te wijzen en bepaalde praktische regelingen voor het toezicht op entiteiten te specificeren.